უფლებების სავალდებულო განაწილების მოდელი FreeBSD-ში

შესავალი

სერვერის უსაფრთხოების დამატებითი დონის უზრუნველსაყოფად, შეგიძლიათ გამოიყენოთ მანდატის მოდელი წვდომის განაწილება. ეს პუბლიკაცია აღწერს, თუ როგორ შეგიძლიათ აპაჩის გაშვება ციხეში მხოლოდ იმ კომპონენტებზე წვდომით, რომლებსაც სჭირდებათ წვდომა apache-სა და php-ის სწორი მუშაობისთვის. ამ პრინციპის გამოყენებით, შეგიძლიათ შეზღუდოთ არა მხოლოდ Apache, არამედ ნებისმიერი სხვა სტეკი.

სასწავლო

ეს მეთოდი შესაფერისია მხოლოდ ufs ფაილური სისტემისთვის; ამ მაგალითში, zfs გამოყენებული იქნება მთავარ სისტემაში და ufs, შესაბამისად, ციხეში. პირველი ნაბიჯი არის ბირთვის აღდგენა; FreeBSD-ის ინსტალაციისას დააინსტალირეთ წყაროს კოდი.
სისტემის დაყენების შემდეგ შეცვალეთ ფაილი:

/usr/src/sys/amd64/conf/GENERIC

ამ ფაილს მხოლოდ ერთი სტრიქონი უნდა დაამატოთ:

options     MAC_MLS

mls/high label-ს ექნება დომინანტური პოზიცია mls/low label-ზე, აპლიკაციები, რომლებიც გაშვებული იქნება mls/low label-ით, ვერ შეძლებენ წვდომას ფაილებზე, რომლებსაც აქვთ mls/high label. დამატებითი ინფორმაცია FreeBSD სისტემაში არსებული ყველა ტეგის შესახებ შეგიძლიათ იხილოთ აქ სახელმძღვანელო.
შემდეგი, გადადით /usr/src დირექტორიაში:

cd /usr/src

ბირთვის აშენების დასაწყებად გაუშვით (j კლავიშში მიუთითეთ სისტემაში ბირთვების რაოდენობა):

make -j 4 buildkernel KERNCONF=GENERIC

ბირთვის შედგენის შემდეგ, ის უნდა იყოს დაინსტალირებული:

make installkernel KERNCONF=GENERIC

ბირთვის დაყენების შემდეგ, ნუ ჩქარობთ სისტემის გადატვირთვას, რადგან აუცილებელია მომხმარებლების გადაყვანა შესვლის კლასში, წინასწარ კონფიგურირებული. შეცვალეთ /etc/login.conf ფაილი, ამ ფაილში თქვენ უნდა შეცვალოთ ნაგულისხმევი შესვლის კლასი, მიიყვანეთ ფორმაში:

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

ხაზი :label=mls/equal საშუალებას მისცემს მომხმარებლებს, რომლებიც არიან ამ კლასის წევრები, წვდომა მიიღონ ფაილებზე, რომლებიც მონიშნულია ნებისმიერი ლეიბლით (mls/low, mls/high). ამ მანიპულაციების შემდეგ, თქვენ უნდა აღადგინოთ მონაცემთა ბაზა და განათავსოთ root მომხმარებელი (ისევე, ვისაც ეს სჭირდება) შესვლის ამ კლასში:

cap_mkdb /etc/login.conf
pw usermod root -L default

იმისათვის, რომ პოლიტიკა მხოლოდ ფაილებზე გავრცელდეს, თქვენ უნდა შეცვალოთ /etc/mac.conf ფაილი და დატოვოთ მასში მხოლოდ ერთი ხაზი:

default_labels file ?mls

თქვენ ასევე უნდა დაამატოთ mac_mls.ko მოდული ავტომატური გაშვებისთვის:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

ამის შემდეგ, შეგიძლიათ უსაფრთხოდ გადატვირთოთ სისტემა. როგორ შევქმნათ ციხეში შეგიძლიათ წაიკითხოთ ჩემს ერთ-ერთ პუბლიკაციაში. მაგრამ ჯეილის შექმნამდე, თქვენ უნდა დაამატოთ მყარი დისკი და შექმნათ მასზე ფაილური სისტემა და ჩართოთ მასზე მულტილეიბლი, შექმენით ufs2 ფაილური სისტემა კლასტერის ზომით 64 კბ:

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

ფაილური სისტემის შექმნისა და მულტილეიბლის დამატების შემდეგ, თქვენ უნდა დაამატოთ მყარი დისკი /etc/fstab, დაამატეთ ხაზი ამ ფაილს:

/dev/ada1               /jail  ufs     rw              0       1

Mountpoint-ში მიუთითეთ დირექტორია, რომელშიც დაამონტაჟებთ მყარ დისკს; Pass-ში აუცილებლად მიუთითეთ 1 (რა თანმიმდევრობით შემოწმდება ეს მყარი დისკი) - ეს აუცილებელია, რადგან ufs ფაილური სისტემა მგრძნობიარეა დენის უეცარი შეწყვეტის მიმართ. . ამ ნაბიჯების შემდეგ დააინსტალირეთ დისკი:

mount /dev/ada1 /jail

დააინსტალირეთ jail ამ დირექტორიაში. ციხის გაშვების შემდეგ, თქვენ უნდა გააკეთოთ მასში იგივე მანიპულაციები, როგორც მთავარ სისტემაში მომხმარებლებთან და ფაილებთან /etc/login.conf, /etc/mac.conf.

რეგულირება

საჭირო ტეგების დაყენებამდე გირჩევთ დააინსტალიროთ ყველა საჭირო პაკეტი; ჩემს შემთხვევაში, ტეგები დაყენდება ამ პაკეტების გათვალისწინებით:

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39 

ამ მაგალითში, ეტიკეტები დაყენდება ამ პაკეტების დამოკიდებულების გათვალისწინებით. რა თქმა უნდა, ამის გაკეთება შეგიძლიათ უფრო მარტივად: /usr/local/lib საქაღალდისთვის და ამ დირექტორიაში მდებარე ფაილებისთვის, დააყენეთ mls/low labels და შემდგომ დაინსტალირებული პაკეტები (მაგალითად, დამატებითი გაფართოებები php-ისთვის) შეძლებენ წვდომას. ბიბლიოთეკები ამ დირექტორიაში, მაგრამ უკეთესი მეჩვენება, რომ მივცეთ წვდომა მხოლოდ იმ ფაილებზე, რომლებიც აუცილებელია. შეაჩერე ციხე და დააყენე mls/high ეტიკეტები ყველა ფაილზე:

setfmac -R mls/high /jail

ნიშნების დაყენებისას, პროცესი შეჩერდება, თუ setfmac შეხვდება მყარ ბმულებს, ჩემს მაგალითში მე წავშალე მყარი ბმულები შემდეგ დირექტორიაში:

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

ლეიბლების დაყენების შემდეგ, თქვენ უნდა დააყენოთ mls/low ეტიკეტები apache-სთვის, პირველი, რაც უნდა გააკეთოთ, არის იმის გარკვევა, თუ რა ფაილებია საჭირო apache-ს დასაწყებად:

ldd /usr/local/sbin/httpd

ამ ბრძანების შესრულების შემდეგ, დამოკიდებულებები გამოჩნდება ეკრანზე, მაგრამ ამ ფაილებზე საჭირო ლეიბლების დაყენება საკმარისი არ იქნება, რადგან დირექტორიაში, რომლებშიც ეს ფაილები მდებარეობს, აქვთ mls/high ლეიბლი, ამიტომ ამ დირექტორიებსაც სჭირდებათ ლეიბლი. მლ/დაბალი. დაწყებისას, apache ასევე გამოსცემს ფაილებს, რომლებიც აუცილებელია მისი გასაშვებად, ხოლო php-სთვის ეს დამოკიდებულებები შეგიძლიათ იხილოთ httpd-error.log ჟურნალში.

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

ეს სია შეიცავს mls/low ტეგებს ყველა ფაილისთვის, რომელიც აუცილებელია apache-სა და php-ის კომბინაციის სწორი მუშაობისთვის (იმ პაკეტებისთვის, რომლებიც დაინსტალირებულია ჩემს მაგალითში).

საბოლოო შეხება იქნება jail-ის კონფიგურაცია, რომ იმუშაოს mls/თანაბარ დონეზე და apache-ს mls/დაბალ დონეზე. jail-ის დასაწყებად, თქვენ უნდა შეიტანოთ ცვლილებები /etc/rc.d/jail სკრიპტში, იპოვოთ jail_start ფუნქციები ამ სკრიპტში, შეცვალოთ ბრძანების ცვლადი ფორმაში:

command="setpmac mls/equal $jail_program"

setpmac ბრძანება აწარმოებს შესრულებად ფაილს საჭირო შესაძლებლობის დონეზე, ამ შემთხვევაში mls/equal, რათა ჰქონდეს წვდომა ყველა ლეიბლზე. Apache-ში თქვენ უნდა შეცვალოთ გაშვების სკრიპტი /usr/local/etc/rc.d/apache24. შეცვალეთ apache24_prestart ფუნქცია:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В ოფიციალური სახელმძღვანელო შეიცავს სხვა მაგალითს, მაგრამ მე ვერ გამოვიყენე, რადგან გამუდმებით ვიღებდი შეტყობინებას setpmac ბრძანების გამოყენების შეუძლებლობის შესახებ.

გამოყვანის

წვდომის განაწილების ეს მეთოდი უსაფრთხოების დამატებით დონეს შემატებს apache-ს (თუმცა ეს მეთოდი შესაფერისია ნებისმიერი სხვა სტეკისთვის), რომელიც დამატებით მუშაობს ციხეში, ამავდროულად, ადმინისტრატორისთვის ეს ყველაფერი გამჭვირვალედ და შეუმჩნევლად მოხდება.

წყაროების სია, რომლებიც დამეხმარნენ ამ პუბლიკაციის დაწერაში:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

წყარო: www.habr.com