🥇គំរូចែកចាយសិទ្ធិចាំបាច់នៅក្នុង FreeBSD

សេចក្តីណែនាំ

ដើម្បីផ្តល់កម្រិតបន្ថែមនៃសុវត្ថិភាពម៉ាស៊ីនមេ អ្នកអាចប្រើ គំរូអាណត្តិ ចូលដំណើរការចែកចាយ។ ការបោះពុម្ភផ្សាយនេះនឹងរៀបរាប់ពីរបៀបដែលអ្នកអាចដំណើរការ apache នៅក្នុងគុកដោយចូលប្រើតែសមាសធាតុទាំងនោះដែលត្រូវការការចូលប្រើសម្រាប់ប្រតិបត្តិការត្រឹមត្រូវនៃ apache និង php ។ ដោយប្រើគោលការណ៍នេះ អ្នកអាចកំណត់មិនត្រឹមតែ Apache ប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានជង់ផ្សេងទៀតផងដែរ។

ការរៀបចំ

វិធីសាស្រ្តនេះគឺសមរម្យសម្រាប់តែប្រព័ន្ធឯកសារ ufs ក្នុងឧទាហរណ៍នេះ zfs នឹងត្រូវបានប្រើនៅក្នុងប្រព័ន្ធមេ និង ufs នៅក្នុងគុករៀងៗខ្លួន។ ជំហានដំបូងគឺត្រូវបង្កើតខឺណែលឡើងវិញ នៅពេលដំឡើង FreeBSD ដំឡើងកូដប្រភព។
បន្ទាប់ពីដំឡើងប្រព័ន្ធរួច កែសម្រួលឯកសារ៖

/usr/src/sys/amd64/conf/GENERIC

អ្នកត្រូវតែបន្ថែមមួយបន្ទាត់ទៅឯកសារនេះ៖

options     MAC_MLS

ស្លាក mls/high នឹងមានទីតាំងលេចធ្លោជាងស្លាក mls/low កម្មវិធីដែលនឹងត្រូវបានដាក់ឱ្យដំណើរការជាមួយស្លាក mls/low នឹងមិនអាចចូលប្រើឯកសារដែលមានស្លាក mls/high បានទេ។ ព័ត៌មានលម្អិតបន្ថែមអំពីស្លាកដែលមាននៅក្នុងប្រព័ន្ធ FreeBSD អាចរកបាននៅក្នុងនេះ។ ភាពជាអ្នកដឹកនាំ.
បន្ទាប់មកចូលទៅកាន់ថត /usr/src៖

cd /usr/src

ដើម្បីចាប់ផ្តើមបង្កើតខឺណែល សូមដំណើរការ (ក្នុងគ្រាប់ចុច j បញ្ជាក់ចំនួនស្នូលនៅក្នុងប្រព័ន្ធ)៖

make -j 4 buildkernel KERNCONF=GENERIC

បន្ទាប់ពីខឺណែលត្រូវបានចងក្រង វាត្រូវតែដំឡើង៖

make installkernel KERNCONF=GENERIC

បន្ទាប់ពីដំឡើងខឺណែល សូមកុំប្រញាប់ប្រញាល់ចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ ព្រោះចាំបាច់ត្រូវផ្ទេរអ្នកប្រើប្រាស់ទៅថ្នាក់ចូល ដោយបានកំណត់រចនាសម្ព័ន្ធវាពីមុនមក។ កែសម្រួលឯកសារ /etc/login.conf ក្នុងឯកសារនេះអ្នកត្រូវកែសម្រួលថ្នាក់ចូលលំនាំដើម នាំវាទៅជាទម្រង់៖

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

បន្ទាត់ :label=mls/equal នឹងអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលជាសមាជិកនៃថ្នាក់នេះចូលប្រើឯកសារដែលត្រូវបានសម្គាល់ដោយស្លាកណាមួយ (mls/low, mls/high)។ បន្ទាប់ពីឧបាយកលទាំងនេះ អ្នកត្រូវបង្កើតមូលដ្ឋានទិន្នន័យឡើងវិញ ហើយដាក់អ្នកប្រើប្រាស់ root (ក៏ដូចជាអ្នកដែលត្រូវការវា) នៅក្នុងថ្នាក់ចូលនេះ៖

cap_mkdb /etc/login.conf
pw usermod root -L default

ដើម្បីឱ្យគោលការណ៍អនុវត្តចំពោះតែឯកសារ អ្នកត្រូវកែសម្រួលឯកសារ /etc/mac.conf ដោយទុកតែបន្ទាត់មួយនៅក្នុងវា៖

default_labels file ?mls

អ្នកក៏ត្រូវបន្ថែមម៉ូឌុល mac_mls.ko ដើម្បីដំណើរការស្វ័យប្រវត្តិ៖

echo 'mac_mls_load="YES"' >> /boot/loader.conf

បន្ទាប់ពីនេះ អ្នកអាចចាប់ផ្ដើមប្រព័ន្ធឡើងវិញដោយសុវត្ថិភាព។ របៀបបង្កើត ពន្ធនាគារ អ្នកអាចអានវានៅក្នុងការបោះពុម្ពផ្សាយរបស់ខ្ញុំ។ ប៉ុន្តែមុនពេលបង្កើតគុក អ្នកត្រូវបន្ថែម hard drive និងបង្កើតប្រព័ន្ធឯកសារនៅលើវា ហើយបើក multilabel នៅលើវា បង្កើតប្រព័ន្ធឯកសារ ufs2 ដែលមានទំហំ cluster 64kb៖

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

បន្ទាប់ពីបង្កើតប្រព័ន្ធឯកសារ និងបន្ថែម multilabel អ្នកត្រូវបន្ថែម hard drive ទៅ /etc/fstab បន្ថែមបន្ទាត់ទៅឯកសារនេះ៖

/dev/ada1               /jail  ufs     rw              0       1

នៅក្នុង Mountpoint បញ្ជាក់ថតដែលអ្នកនឹងភ្ជាប់ hard drive ក្នុង Pass ត្រូវប្រាកដថាបញ្ជាក់ 1 (ក្នុងលំដាប់ណាដែល hard drive នេះនឹងត្រូវបានពិនិត្យ) - នេះជាការចាំបាច់ ដោយសារប្រព័ន្ធឯកសារ ufs ងាយនឹងដាច់ចរន្តអគ្គិសនីភ្លាមៗ។ . បន្ទាប់ពីជំហានទាំងនេះ ដំឡើងថាស៖

mount /dev/ada1 /jail

ដំឡើងគុកនៅក្នុងថតនេះ។ បន្ទាប់ពីគុកកំពុងដំណើរការ អ្នកត្រូវធ្វើឧបាយកលដូចគ្នានៅក្នុងវាដូចនៅក្នុងប្រព័ន្ធមេជាមួយអ្នកប្រើប្រាស់ និងឯកសារ /etc/login.conf, /etc/mac.conf ។

ការលៃតម្រូវ

មុនពេលដំឡើងស្លាកចាំបាច់ ខ្ញុំសូមណែនាំឱ្យដំឡើងកញ្ចប់ចាំបាច់ទាំងអស់ ក្នុងករណីរបស់ខ្ញុំ ស្លាកនឹងត្រូវបានកំណត់ដោយគិតគូរពីកញ្ចប់ទាំងនេះ៖

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39

ក្នុងឧទាហរណ៍នេះ ស្លាកនឹងត្រូវបានកំណត់ដោយគិតគូរពីភាពអាស្រ័យនៃកញ្ចប់ទាំងនេះ។ ជាការពិតណាស់ អ្នកអាចធ្វើវាបានកាន់តែសាមញ្ញ៖ សម្រាប់ថត /usr/local/lib និងឯកសារដែលមាននៅក្នុងថតនេះ កំណត់ស្លាក mls/low និងកញ្ចប់ដែលបានដំឡើងជាបន្តបន្ទាប់ (ឧទាហរណ៍ កម្មវិធីបន្ថែមសម្រាប់ php) នឹងអាចចូលប្រើបាន។ បណ្ណាល័យនៅក្នុងថតនេះ ប៉ុន្តែវាហាក់ដូចជាល្អជាងសម្រាប់ខ្ញុំផ្តល់ការចូលប្រើតែឯកសារទាំងនោះដែលចាំបាច់។ បញ្ឈប់ការជាប់គុក ហើយកំណត់ mls/high labels លើឯកសារទាំងអស់៖

setfmac -R mls/high /jail

នៅពេលកំណត់សញ្ញា ដំណើរការនឹងត្រូវបានបញ្ឈប់ ប្រសិនបើ setfmac ជួបប្រទះនឹងតំណភ្ជាប់រឹង ក្នុងឧទាហរណ៍របស់ខ្ញុំ ខ្ញុំបានលុបតំណរឹងនៅក្នុងថតខាងក្រោម៖

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

បន្ទាប់ពីកំណត់ស្លាករួចហើយ អ្នកត្រូវកំណត់ស្លាក mls/low សម្រាប់ apache រឿងដំបូងដែលអ្នកត្រូវធ្វើគឺស្វែងរកឯកសារណាដែលត្រូវការដើម្បីចាប់ផ្តើម apache៖

ldd /usr/local/sbin/httpd

បន្ទាប់ពីប្រតិបត្តិពាក្យបញ្ជានេះ ភាពអាស្រ័យនឹងត្រូវបានបង្ហាញនៅលើអេក្រង់ ប៉ុន្តែការកំណត់ស្លាកចាំបាច់នៅលើឯកសារទាំងនេះនឹងមិនគ្រប់គ្រាន់ទេ ដោយសារថតដែលឯកសារទាំងនេះមានទីតាំងនៅមានស្លាក mls/high ដូច្នេះថតទាំងនេះក៏ត្រូវដាក់ស្លាកផងដែរ។ mls/ទាប។ នៅពេលចាប់ផ្តើម apache ក៏នឹងបញ្ចេញឯកសារដែលចាំបាច់សម្រាប់ដំណើរការវា ហើយសម្រាប់ php ភាពអាស្រ័យទាំងនេះអាចរកបាននៅក្នុងកំណត់ហេតុ httpd-error.log ។

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

បញ្ជីនេះមានស្លាក mls/low សម្រាប់ឯកសារទាំងអស់ដែលចាំបាច់សម្រាប់ប្រតិបត្តិការត្រឹមត្រូវនៃការរួមបញ្ចូលគ្នា apache និង php (សម្រាប់កញ្ចប់ទាំងនោះដែលត្រូវបានដំឡើងក្នុងឧទាហរណ៍របស់ខ្ញុំ)។

ការប៉ះចុងក្រោយនឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធគុកឱ្យដំណើរការនៅកម្រិត mls/equal និង apache នៅកម្រិត mls/low ។ ដើម្បីចាប់ផ្តើមគុក អ្នកត្រូវធ្វើការផ្លាស់ប្តូរទៅ /etc/rc.d/jail script ស្វែងរកមុខងារ jail_start ក្នុងស្គ្រីបនេះ ប្តូរអថេរពាក្យបញ្ជាទៅជាទម្រង់៖

command="setpmac mls/equal $jail_program"

ពាក្យបញ្ជា setpmac ដំណើរការឯកសារដែលអាចប្រតិបត្តិបាននៅកម្រិតសមត្ថភាពដែលត្រូវការ ក្នុងករណីនេះ mls/equal ដើម្បីមានសិទ្ធិចូលប្រើស្លាកទាំងអស់។ នៅក្នុង apache អ្នកត្រូវកែសម្រួលស្គ្រីបចាប់ផ្ដើម /usr/local/etc/rc.d/apache24។ ផ្លាស់ប្តូរមុខងារ apache24_prestart៖

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В ជាផ្លូវការ សៀវភៅដៃមានឧទាហរណ៍មួយទៀត ប៉ុន្តែខ្ញុំមិនអាចប្រើវាបានទេ ដោយសារខ្ញុំបន្តទទួលបានសារអំពីអសមត្ថភាពក្នុងការប្រើពាក្យបញ្ជា setpmac ។

សេចក្តីសន្និដ្ឋាន

វិធីសាស្រ្តនៃការចែកចាយការចូលប្រើនេះនឹងបន្ថែមកម្រិតសុវត្ថិភាពបន្ថែមទៀតដល់ apache (ទោះបីជាវិធីសាស្ត្រនេះគឺសមរម្យសម្រាប់ជង់ផ្សេងទៀតក៏ដោយ) ដែលលើសពីនេះទៀតដំណើរការនៅក្នុងគុក ក្នុងពេលតែមួយសម្រាប់អ្នកគ្រប់គ្រង អ្វីៗទាំងអស់នេះនឹងកើតឡើងដោយតម្លាភាព និងមិនអាចកត់សម្គាល់បាន។

បញ្ជីប្រភពដែលបានជួយខ្ញុំក្នុងការសរសេរការបោះពុម្ពផ្សាយនេះ៖

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

ប្រភព: www.habr.com

គំរូចែកចាយសិទ្ធិជាកាតព្វកិច្ចនៅក្នុង FreeBSD

សេចក្តីណែនាំ

ការរៀបចំ

ការលៃតម្រូវ

សេចក្តីសន្និដ្ឋាន

បន្ថែមមតិយោបល់ ответОтменить