🥇FreeBSD में अनिवार्य अधिकार वितरण मॉडल

परिचय

सर्वर सुरक्षा का एक अतिरिक्त स्तर प्रदान करने के लिए, आप इसका उपयोग कर सकते हैं अधिदेश मॉडल पहुँच वितरण. यह प्रकाशन वर्णन करेगा कि आप जेल में अपाचे को केवल उन घटकों तक पहुंच के साथ कैसे चला सकते हैं जिन्हें सही ढंग से काम करने के लिए अपाचे और PHP तक पहुंच की आवश्यकता होती है। इस सिद्धांत का उपयोग करके, आप न केवल अपाचे, बल्कि किसी अन्य स्टैक को भी सीमित कर सकते हैं।

ट्रेनिंग

यह विधि केवल ufs फ़ाइल सिस्टम के लिए उपयुक्त है; इस उदाहरण में, zfs का उपयोग क्रमशः मुख्य सिस्टम में और ufs को जेल में किया जाएगा। पहला कदम कर्नेल का पुनर्निर्माण करना है; फ्रीबीएसडी स्थापित करते समय, स्रोत कोड स्थापित करें।
सिस्टम स्थापित होने के बाद, फ़ाइल को संपादित करें:

/usr/src/sys/amd64/conf/GENERIC

आपको इस फ़ाइल में केवल एक पंक्ति जोड़ने की आवश्यकता है:

options     MAC_MLS

एमएलएस/उच्च लेबल का एमएलएस/निम्न लेबल पर प्रमुख स्थान होगा, एमएलएस/निम्न लेबल के साथ लॉन्च किए जाने वाले एप्लिकेशन एमएलएस/उच्च लेबल वाली फ़ाइलों तक नहीं पहुंच पाएंगे। फ्रीबीएसडी प्रणाली में सभी उपलब्ध टैग के बारे में अधिक विवरण इसमें पाया जा सकता है मार्गदर्शक.
इसके बाद, /usr/src निर्देशिका पर जाएँ:

cd /usr/src

कर्नेल का निर्माण शुरू करने के लिए, चलाएँ (j कुंजी में, सिस्टम में कोर की संख्या निर्दिष्ट करें):

make -j 4 buildkernel KERNCONF=GENERIC

कर्नेल संकलित होने के बाद, इसे स्थापित किया जाना चाहिए:

make installkernel KERNCONF=GENERIC

कर्नेल स्थापित करने के बाद, सिस्टम को रीबूट करने में जल्दबाजी न करें, क्योंकि पहले से कॉन्फ़िगर करने के बाद उपयोगकर्ताओं को लॉगिन क्लास में स्थानांतरित करना आवश्यक है। /etc/login.conf फ़ाइल को संपादित करें, इस फ़ाइल में आपको डिफ़ॉल्ट लॉगिन क्लास को संपादित करने की आवश्यकता है, इसे फॉर्म में लाएं:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

लाइन :label=mls/equal उन उपयोगकर्ताओं को अनुमति देगी जो इस वर्ग के सदस्य हैं और उन फ़ाइलों तक पहुंच सकते हैं जो किसी भी लेबल (mls/low, mls/high) से चिह्नित हैं। इन जोड़तोड़ों के बाद, आपको डेटाबेस को फिर से बनाना होगा और रूट उपयोगकर्ता (साथ ही जिन्हें इसकी आवश्यकता है) को इस लॉगिन क्लास में रखना होगा:

cap_mkdb /etc/login.conf
pw usermod root -L default

नीति को केवल फ़ाइलों पर लागू करने के लिए, आपको /etc/mac.conf फ़ाइल को संपादित करना होगा, उसमें केवल एक पंक्ति छोड़नी होगी:

default_labels file ?mls

आपको ऑटोरन में mac_mls.ko मॉड्यूल भी जोड़ना होगा:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

इसके बाद, आप सिस्टम को सुरक्षित रूप से रीबूट कर सकते हैं। कैसे बनाये जेल आप इसे मेरे किसी प्रकाशन में पढ़ सकते हैं। लेकिन जेल बनाने से पहले, आपको एक हार्ड ड्राइव जोड़ना होगा और उस पर एक फ़ाइल सिस्टम बनाना होगा और उस पर मल्टीलेबल सक्षम करना होगा, 2kb के क्लस्टर आकार के साथ एक ufs64 फ़ाइल सिस्टम बनाना होगा:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

फ़ाइल सिस्टम बनाने और मल्टीलेबल जोड़ने के बाद, आपको हार्ड ड्राइव को /etc/fstab में जोड़ना होगा, इस फ़ाइल में लाइन जोड़ें:

/dev/ada1               /jail  ufs     rw              0       1

माउंटपॉइंट में, वह निर्देशिका निर्दिष्ट करें जिसमें आप हार्ड ड्राइव को माउंट करेंगे; पास में, 1 निर्दिष्ट करना सुनिश्चित करें (किस क्रम में इस हार्ड ड्राइव की जांच की जाएगी) - यह आवश्यक है, क्योंकि यूएफएस फ़ाइल सिस्टम अचानक बिजली कटौती के प्रति संवेदनशील है . इन चरणों के बाद, डिस्क को माउंट करें:

mount /dev/ada1 /jail

इस निर्देशिका में जेल स्थापित करें। जेल चलने के बाद, आपको इसमें वही हेरफेर करने की ज़रूरत है जो उपयोगकर्ताओं और फ़ाइलों /etc/login.conf, /etc/mac.conf के साथ मुख्य सिस्टम में होती है।

समायोजन

आवश्यक टैग स्थापित करने से पहले, मैं सभी आवश्यक पैकेज स्थापित करने की अनुशंसा करता हूं; मेरे मामले में, टैग इन पैकेजों को ध्यान में रखते हुए सेट किए जाएंगे:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39

इस उदाहरण में, लेबल इन पैकेजों की निर्भरता को ध्यान में रखते हुए सेट किए जाएंगे। बेशक, आप इसे सरल तरीके से कर सकते हैं: /usr/local/lib फ़ोल्डर और इस निर्देशिका में स्थित फ़ाइलों के लिए, mls/low लेबल सेट करें और बाद में स्थापित पैकेज (उदाहरण के लिए, php के लिए अतिरिक्त एक्सटेंशन) तक पहुंच सकेंगे इस निर्देशिका में पुस्तकालय, लेकिन मुझे केवल उन फ़ाइलों तक पहुंच प्रदान करना बेहतर लगता है जो आवश्यक हैं। जेल बंद करें और सभी फ़ाइलों पर एमएलएस/हाई लेबल सेट करें:

setfmac -R mls/high /jail

चिह्न सेट करते समय, यदि सेटफ़मैक को हार्ड लिंक का सामना करना पड़ता है, तो प्रक्रिया रोक दी जाएगी, मेरे उदाहरण में मैंने निम्नलिखित निर्देशिकाओं में हार्ड लिंक हटा दिए हैं:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

लेबल सेट होने के बाद, आपको अपाचे के लिए एमएलएस/लो लेबल सेट करने की आवश्यकता है, पहली चीज़ जो आपको करने की ज़रूरत है वह यह पता लगाना है कि अपाचे शुरू करने के लिए कौन सी फ़ाइलों की आवश्यकता है:

ldd /usr/local/sbin/httpd

इस कमांड को निष्पादित करने के बाद, स्क्रीन पर निर्भरताएँ प्रदर्शित होंगी, लेकिन इन फ़ाइलों पर आवश्यक लेबल लगाना पर्याप्त नहीं होगा, क्योंकि जिन निर्देशिकाओं में ये फ़ाइलें स्थित हैं, उनमें mls/high लेबल है, इसलिए इन निर्देशिकाओं को भी लेबल करने की आवश्यकता है एमएल/कम. प्रारंभ करते समय, अपाचे उन फ़ाइलों को भी आउटपुट करेगा जो इसे चलाने के लिए आवश्यक हैं, और php के लिए ये निर्भरताएँ httpd-error.log लॉग में पाई जा सकती हैं।

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

इस सूची में उन सभी फ़ाइलों के लिए एमएलएस/लो टैग शामिल हैं जो अपाचे और PHP संयोजन के सही संचालन के लिए आवश्यक हैं (उन पैकेजों के लिए जो मेरे उदाहरण में स्थापित हैं)।

अंतिम स्पर्श जेल को एमएलएस/बराबर स्तर पर चलाने के लिए और अपाचे को एमएलएस/निम्न स्तर पर चलाने के लिए कॉन्फ़िगर करना होगा। जेल शुरू करने के लिए, आपको /etc/rc.d/jail स्क्रिप्ट में बदलाव करने होंगे, इस स्क्रिप्ट में जेल_स्टार्ट फ़ंक्शन ढूंढने होंगे, कमांड वेरिएबल को फॉर्म में बदलना होगा:

command="setpmac mls/equal $jail_program"

सेटपमैक कमांड सभी लेबलों तक पहुंच प्राप्त करने के लिए निष्पादन योग्य फ़ाइल को आवश्यक क्षमता स्तर पर चलाता है, इस मामले में एमएलएस/बराबर। अपाचे में आपको स्टार्टअप स्क्रिप्ट /usr/local/etc/rc.d/apache24 को संपादित करना होगा। Apache24_prestart फ़ंक्शन बदलें:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В आधिकारिक मैनुअल में एक और उदाहरण है, लेकिन मैं इसका उपयोग करने में असमर्थ था क्योंकि मुझे सेटपमैक कमांड का उपयोग करने में असमर्थता के बारे में एक संदेश मिलता रहा।

उत्पादन

पहुंच वितरित करने की यह विधि अपाचे में सुरक्षा का एक अतिरिक्त स्तर जोड़ देगी (हालांकि यह विधि किसी अन्य स्टैक के लिए उपयुक्त है), जो इसके अलावा जेल में चलती है, साथ ही, व्यवस्थापक के लिए यह सब पारदर्शी और अनजान रूप से होगा।

उन स्रोतों की सूची जिन्होंने इस प्रकाशन को लिखने में मेरी मदद की:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

स्रोत: www.habr.com

फ्रीबीएसडी में अनिवार्य अधिकार वितरण मॉडल

परिचय

ट्रेनिंग

समायोजन

उत्पादन

एक टिप्पणी जोड़ें उत्तर रद्द