🥇 FreeBSD এ বাধ্যতামূলক অধিকার বিতরণ মডেল

ভূমিকা

সার্ভার নিরাপত্তা একটি অতিরিক্ত স্তর প্রদান করতে, আপনি ব্যবহার করতে পারেন ম্যান্ডেট মডেল অ্যাক্সেস বিতরণ। এই প্রকাশনাটি বর্ণনা করবে কিভাবে আপনি একটি কারাগারে অ্যাপাচি চালাতে পারেন শুধুমাত্র সেই উপাদানগুলিতে অ্যাক্সেস সহ যেগুলি সঠিকভাবে কাজ করার জন্য apache এবং php-এর অ্যাক্সেস প্রয়োজন৷ এই নীতি ব্যবহার করে, আপনি শুধুমাত্র Apache নয়, অন্য কোনো স্ট্যাককেও সীমাবদ্ধ করতে পারেন।

প্রশিক্ষণ

এই পদ্ধতিটি শুধুমাত্র ufs ফাইল সিস্টেমের জন্য উপযুক্ত; এই উদাহরণে, zfs প্রধান সিস্টেমে এবং ufs যথাক্রমে জেলে ব্যবহার করা হবে। প্রথম ধাপ হল কার্নেল পুনর্নির্মাণ করা; FreeBSD ইনস্টল করার সময়, সোর্স কোডটি ইনস্টল করুন।
সিস্টেম ইনস্টল করার পরে, ফাইলটি সম্পাদনা করুন:

/usr/src/sys/amd64/conf/GENERIC

আপনাকে এই ফাইলটিতে শুধুমাত্র একটি লাইন যোগ করতে হবে:

options     MAC_MLS

এমএলএস/নিম্ন লেবেলের উপর এমএলএস/হাই লেবেলের একটি প্রভাবশালী অবস্থান থাকবে, এমএলএস/নিম্ন লেবেল দিয়ে চালু করা অ্যাপ্লিকেশনগুলি এমএলএস/হাই লেবেলযুক্ত ফাইলগুলিতে অ্যাক্সেস করতে সক্ষম হবে না। ফ্রিবিএসডি সিস্টেমে উপলব্ধ সমস্ত ট্যাগ সম্পর্কে আরও বিশদ এতে পাওয়া যাবে নির্দেশিকা.
পরবর্তী, /usr/src ডিরেক্টরিতে যান:

cd /usr/src

কার্নেল তৈরি শুরু করতে, চালান (j কী-তে, সিস্টেমে কোরের সংখ্যা উল্লেখ করুন):

make -j 4 buildkernel KERNCONF=GENERIC

কার্নেল কম্পাইল করার পরে, এটি ইনস্টল করা আবশ্যক:

make installkernel KERNCONF=GENERIC

কার্নেল ইনস্টল করার পরে, সিস্টেমটি পুনরায় বুট করার জন্য তাড়াহুড়ো করবেন না, যেহেতু ব্যবহারকারীদের লগইন ক্লাসে স্থানান্তর করা প্রয়োজন, এটি পূর্বে কনফিগার করা হয়েছে। /etc/login.conf ফাইলটি সম্পাদনা করুন, এই ফাইলটিতে আপনাকে ডিফল্ট লগইন ক্লাস সম্পাদনা করতে হবে, ফর্মটিতে আনুন:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

লাইন :label=mls/equal ব্যবহারকারীদের যারা এই শ্রেণীর সদস্য সেই ফাইলগুলিকে যেকোন লেবেল (mls/low, mls/high) দিয়ে চিহ্নিত ফাইলগুলি অ্যাক্সেস করার অনুমতি দেবে। এই ম্যানিপুলেশনের পরে, আপনাকে ডাটাবেস পুনর্নির্মাণ করতে হবে এবং এই লগইন ক্লাসে রুট ব্যবহারকারীকে (পাশাপাশি যাদের এটি প্রয়োজন) স্থাপন করতে হবে:

cap_mkdb /etc/login.conf
pw usermod root -L default

নীতি শুধুমাত্র ফাইলগুলিতে প্রয়োগ করার জন্য, আপনাকে /etc/mac.conf ফাইলটি সম্পাদনা করতে হবে, এতে শুধুমাত্র একটি লাইন রেখে দিন:

default_labels file ?mls

এছাড়াও আপনাকে অটোরানে mac_mls.ko মডিউল যোগ করতে হবে:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

এর পরে, আপনি নিরাপদে সিস্টেমটি পুনরায় বুট করতে পারেন। কিভাবে তৈরি করবেন জেল আপনি আমার প্রকাশনা এক এটি পড়তে পারেন. কিন্তু একটি জেল তৈরি করার আগে, আপনাকে একটি হার্ড ড্রাইভ যোগ করতে হবে এবং এটিতে একটি ফাইল সিস্টেম তৈরি করতে হবে এবং এতে মাল্টিলেবেল সক্ষম করতে হবে, 2kb এর ক্লাস্টার আকারের সাথে একটি ufs64 ফাইল সিস্টেম তৈরি করতে হবে:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

ফাইল সিস্টেম তৈরি এবং মাল্টিলেবেল যোগ করার পরে, আপনাকে /etc/fstab-এ হার্ড ড্রাইভ যোগ করতে হবে, এই ফাইলটিতে লাইন যোগ করুন:

/dev/ada1               /jail  ufs     rw              0       1

মাউন্টপয়েন্টে, আপনি যে ডিরেক্টরিতে হার্ড ড্রাইভটি মাউন্ট করবেন তা নির্দিষ্ট করুন; পাসে, 1 নির্দিষ্ট করতে ভুলবেন না (এই হার্ড ড্রাইভটি কী ক্রমানুসারে চেক করা হবে) - এটি প্রয়োজনীয়, যেহেতু ufs ফাইল সিস্টেম হঠাৎ পাওয়ার কাটের জন্য সংবেদনশীল। . এই পদক্ষেপের পরে, ডিস্ক মাউন্ট করুন:

mount /dev/ada1 /jail

এই ডিরেক্টরিতে জেল ইনস্টল করুন। জেলটি চলার পরে, আপনাকে ব্যবহারকারীদের এবং ফাইলগুলির সাথে মূল সিস্টেমের মতো একই ম্যানিপুলেশনগুলি করতে হবে /etc/login.conf, /etc/mac.conf৷

সমন্বয়

প্রয়োজনীয় ট্যাগ ইনস্টল করার আগে, আমি সমস্ত প্রয়োজনীয় প্যাকেজ ইনস্টল করার পরামর্শ দিচ্ছি; আমার ক্ষেত্রে, এই প্যাকেজগুলিকে বিবেচনায় রেখে ট্যাগগুলি সেট করা হবে:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39

এই উদাহরণে, এই প্যাকেজের নির্ভরতা বিবেচনা করে লেবেল সেট করা হবে। অবশ্যই, আপনি এটি আরও সহজ করতে পারেন: /usr/local/lib ফোল্ডার এবং এই ডিরেক্টরিতে অবস্থিত ফাইলগুলির জন্য, mls/low লেবেল সেট করুন এবং পরবর্তী ইনস্টল করা প্যাকেজগুলি (উদাহরণস্বরূপ, php-এর জন্য অতিরিক্ত এক্সটেনশন) অ্যাক্সেস করতে সক্ষম হবে। এই ডিরেক্টরির মধ্যে লাইব্রেরি, কিন্তু এটি আমার কাছে ভাল মনে হয় শুধুমাত্র সেই ফাইলগুলিতে অ্যাক্সেস প্রদান করে যা প্রয়োজনীয়। জেল বন্ধ করুন এবং সমস্ত ফাইলে এমএলএস/হাই লেবেল সেট করুন:

setfmac -R mls/high /jail

চিহ্ন সেট করার সময়, সেটএফম্যাক হার্ড লিঙ্কের সম্মুখীন হলে প্রক্রিয়াটি বন্ধ হয়ে যাবে, আমার উদাহরণে আমি নিম্নলিখিত ডিরেক্টরিগুলিতে হার্ড লিঙ্কগুলি মুছে দিয়েছি:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

লেবেলগুলি সেট করার পরে, আপনাকে অ্যাপাচির জন্য এমএলএস/লো লেবেল সেট করতে হবে, আপনাকে প্রথমে যা করতে হবে তা হল অ্যাপাচি শুরু করার জন্য কোন ফাইলগুলির প্রয়োজন তা খুঁজে বের করুন:

ldd /usr/local/sbin/httpd

এই কমান্ডটি কার্যকর করার পরে, নির্ভরতাগুলি স্ক্রিনে প্রদর্শিত হবে, তবে এই ফাইলগুলিতে প্রয়োজনীয় লেবেল সেট করা যথেষ্ট হবে না, যেহেতু এই ফাইলগুলি যে ডিরেক্টরিগুলিতে অবস্থিত সেগুলিতে mls/হাই লেবেল রয়েছে, তাই এই ডিরেক্টরিগুলিকেও লেবেল করা দরকার। মিলি/কম। শুরু করার সময়, অ্যাপাচি এটি চালানোর জন্য প্রয়োজনীয় ফাইলগুলিও আউটপুট করবে এবং php-এর জন্য এই নির্ভরতাগুলি httpd-error.log লগে পাওয়া যাবে।

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

এই তালিকায় সমস্ত ফাইলের জন্য এমএলএস/লো ট্যাগ রয়েছে যা অ্যাপাচি এবং পিএইচপি সমন্বয়ের সঠিক অপারেশনের জন্য প্রয়োজনীয় (আমার উদাহরণে ইনস্টল করা প্যাকেজের জন্য)।

এমএলএস/ইকুয়াল লেভেলে চালানোর জন্য জেল কনফিগার করা এবং এমএলএস/নিম্ন লেভেলে অ্যাপাচি কনফিগার করা। জেল শুরু করতে, আপনাকে /etc/rc.d/জেল স্ক্রিপ্টে পরিবর্তন করতে হবে, এই স্ক্রিপ্টে jail_start ফাংশনগুলি খুঁজে বের করতে হবে, ফর্মটিতে কমান্ড ভেরিয়েবল পরিবর্তন করতে হবে:

command="setpmac mls/equal $jail_program"

setpmac কমান্ডটি প্রয়োজনীয় ক্ষমতা স্তরে এক্সিকিউটেবল ফাইল চালায়, এই ক্ষেত্রে mls/সমান, যাতে সমস্ত লেবেলে অ্যাক্সেস থাকে। অ্যাপাচিতে আপনাকে স্টার্টআপ স্ক্রিপ্ট /usr/local/etc/rc.d/apache24 সম্পাদনা করতে হবে। apache24_prestart ফাংশন পরিবর্তন করুন:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В দাপ্তরিক ম্যানুয়ালটিতে অন্য একটি উদাহরণ রয়েছে, কিন্তু আমি এটি ব্যবহার করতে অক্ষম ছিলাম কারণ আমি setpmac কমান্ড ব্যবহার করতে অক্ষমতা সম্পর্কে একটি বার্তা পেয়েছিলাম।

উপসংহার

অ্যাক্সেস বিতরণের এই পদ্ধতিটি অ্যাপাচিতে একটি অতিরিক্ত স্তরের সুরক্ষা যোগ করবে (যদিও এই পদ্ধতিটি অন্য কোনও স্ট্যাকের জন্য উপযুক্ত), যা একই সময়ে, প্রশাসকের জন্য এটি স্বচ্ছভাবে এবং অলক্ষিতভাবে ঘটবে।

এই প্রকাশনাটি লিখতে আমাকে সাহায্য করেছে এমন উত্সগুলির তালিকা:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

উত্স: www.habr.com