Модел за разпределение на задължителни права във FreeBSD

въведение

За да осигурите допълнително ниво на сигурност на сървъра, можете да използвате мандатен модел разпределение на достъпа. Тази публикация ще опише как можете да стартирате apache в затвор с достъп само до тези компоненти, които изискват достъп, за да работят правилно apache и php. Използвайки този принцип, можете да ограничите не само Apache, но и всеки друг стек.

Обучение

Този метод е подходящ само за файловата система ufs; в този пример zfs ще се използва съответно в основната система и ufs в затвора. Първата стъпка е да възстановите ядрото; когато инсталирате FreeBSD, инсталирайте изходния код.
След като системата е инсталирана, редактирайте файла:

/usr/src/sys/amd64/conf/GENERIC

Трябва само да добавите един ред към този файл:

options     MAC_MLS

Етикетът mls/high ще има доминираща позиция над етикета mls/low, приложенията, които ще бъдат стартирани с етикета mls/low, няма да имат достъп до файлове, които имат етикета mls/high. Повече подробности за всички налични тагове в системата FreeBSD можете да намерите тук ръководство.
След това отидете в директорията /usr/src:

cd /usr/src

За да започнете изграждането на ядрото, стартирайте (в клавиша j, посочете броя на ядрата в системата):

make -j 4 buildkernel KERNCONF=GENERIC

След като ядрото е компилирано, то трябва да бъде инсталирано:

make installkernel KERNCONF=GENERIC

След като инсталирате ядрото, не бързайте да рестартирате системата, тъй като е необходимо да прехвърлите потребителите към класа за влизане, като предварително сте го конфигурирали. Редактирайте файла /etc/login.conf, в този файл трябва да редактирате класа за влизане по подразбиране, пренесете го във формата:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

Редът :label=mls/equal ще позволи на потребителите, които са членове на този клас, да имат достъп до файлове, които са маркирани с произволен етикет (mls/low, mls/high). След тези манипулации трябва да възстановите базата данни и да поставите root потребителя (както и тези, които се нуждаят от него) в този клас за влизане:

cap_mkdb /etc/login.conf
pw usermod root -L default

За да се прилага правилото само за файлове, трябва да редактирате файла /etc/mac.conf, като оставите само един ред в него:

default_labels file ?mls

Трябва също да добавите модула mac_mls.ko към автоматичното стартиране:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

След това можете спокойно да рестартирате системата. Как да създадете затвор Можете да го прочетете в една от моите публикации. Но преди да създадете jail, трябва да добавите твърд диск и да създадете файлова система върху него и да активирате multilabel върху него, да създадете ufs2 файлова система с размер на клъстера от 64kb:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

След като създадете файловата система и добавите multilabel, трябва да добавите твърдия диск към /etc/fstab, добавете реда към този файл:

/dev/ada1               /jail  ufs     rw              0       1

В Mountpoint посочете директорията, в която ще монтирате твърдия диск; в Pass не забравяйте да посочите 1 (в каква последователност ще се проверява този твърд диск) - това е необходимо, тъй като файловата система ufs е чувствителна към внезапни прекъсвания на захранването . След тези стъпки монтирайте диска:

mount /dev/ada1 /jail

Инсталирайте jail в тази директория. След като затворът работи, трябва да направите същите манипулации в него, както в основната система с потребителите и файловете /etc/login.conf, /etc/mac.conf.

регулиране

Преди да инсталирате необходимите тагове, препоръчвам да инсталирате всички необходими пакети; в моя случай таговете ще бъдат зададени, като се вземат предвид тези пакети:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39 

В този пример етикетите ще бъдат зададени, като се вземат предвид зависимостите на тези пакети. Разбира се, можете да го направите по-просто: за папката /usr/local/lib и файловете, разположени в тази директория, задайте етикетите mls/low и следващите инсталирани пакети (например допълнителни разширения за php) ще имат достъп библиотеките в тази директория, но ми се струва по-добре да предоставят достъп само до онези файлове, които са необходими. Спрете затвора и задайте mls/high етикети на всички файлове:

setfmac -R mls/high /jail

Когато задавате маркировки, процесът ще бъде спрян, ако setfmac срещне твърди връзки, в моя пример изтрих твърди връзки в следните директории:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

След като етикетите са зададени, трябва да зададете mls/low етикетите за apache, първото нещо, което трябва да направите, е да разберете какви файлове са необходими за стартиране на apache:

ldd /usr/local/sbin/httpd

След изпълнение на тази команда на екрана ще се покажат зависимости, но задаването на необходимите етикети на тези файлове няма да е достатъчно, тъй като директориите, в които се намират тези файлове, имат етикет mls/high, така че тези директории също трябва да бъдат етикетирани mls/ниско. При стартиране apache също ще изведе файловете, които са необходими за стартирането му, а за php тези зависимости могат да бъдат намерени в журнала httpd-error.log.

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

Този списък съдържа mls/low тагове за всички файлове, които са необходими за правилната работа на комбинацията apache и php (за тези пакети, които са инсталирани в моя пример).

Последният щрих ще бъде да конфигурирате jail да работи на ниво mls/equal и apache на ниво mls/low. За да стартирате jail, трябва да направите промени в скрипта /etc/rc.d/jail, да намерите функциите jail_start в този скрипт, да промените командната променлива във формата:

command="setpmac mls/equal $jail_program"

Командата setpmac изпълнява изпълнимия файл на необходимото ниво на възможност, в този случай mls/equal, за да има достъп до всички етикети. В apache трябва да редактирате стартиращия скрипт /usr/local/etc/rc.d/apache24. Променете функцията apache24_prestart:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В официален Ръководството съдържа друг пример, но не успях да го използвам, защото постоянно получавах съобщение за невъзможността да използвам командата setpmac.

Продукция

Този метод за разпространение на достъп ще добави допълнително ниво на сигурност към apache (въпреки че този метод е подходящ за всеки друг стек), който освен това работи в затвора, като в същото време за администратора всичко това ще се случи прозрачно и незабележимо.

Списък на източниците, които ми помогнаха да напиша тази публикация:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

Източник: www.habr.com