FreeBSD의 필수 권한 분배 모델

소개

추가 수준의 서버 보안을 제공하려면 다음을 사용할 수 있습니다. 위임 모델 액세스 배포. 이 간행물은 Apache와 PHP가 올바르게 작동하기 위해 액세스가 필요한 구성 요소에만 액세스하여 감옥에서 Apache를 실행하는 방법을 설명합니다. 이 원칙을 사용하면 Apache뿐만 아니라 다른 스택도 제한할 수 있습니다.

훈련

이 방법은 ufs 파일 시스템에만 적합합니다. 이 예에서는 zfs가 기본 시스템에서 사용되고 ufs가 Jail에서 각각 사용됩니다. 첫 번째 단계는 커널을 다시 빌드하는 것입니다. FreeBSD를 설치할 때 소스 코드를 설치하십시오.
시스템이 설치된 후 파일을 편집하십시오.

/usr/src/sys/amd64/conf/GENERIC

이 파일에 한 줄만 추가하면 됩니다.

options     MAC_MLS

mls/high 레이블은 mls/low 레이블보다 우세한 위치를 가지며, mls/low 레이블로 시작되는 응용 프로그램은 mls/high 레이블이 있는 파일에 액세스할 수 없습니다. FreeBSD 시스템에서 사용 가능한 모든 태그에 대한 자세한 내용은 여기에서 확인할 수 있습니다. 안내서.
다음으로 /usr/src 디렉터리로 이동합니다.

cd /usr/src

커널 빌드를 시작하려면 다음을 실행하세요(j 키에 시스템의 코어 수 지정).

make -j 4 buildkernel KERNCONF=GENERIC

커널을 컴파일한 후 설치해야 합니다.

make installkernel KERNCONF=GENERIC

커널을 설치한 후에는 사용자를 이전에 구성한 로그인 클래스로 전송해야 하므로 서두르지 말고 시스템을 재부팅하십시오. /etc/login.conf 파일을 편집합니다. 이 파일에서 기본 로그인 클래스를 편집하고 다음 형식으로 가져와야 합니다.

default:
        :passwd_format=sha512:
        :copyright=/etc/COPYRIGHT:
        :welcome=/etc/motd:
        :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
        :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
        :nologin=/var/run/nologin:
        :cputime=unlimited:
        :datasize=unlimited:
        :stacksize=unlimited:
        :memorylocked=64K:
        :memoryuse=unlimited:
        :filesize=unlimited:
        :coredumpsize=unlimited:
        :openfiles=unlimited:
        :maxproc=unlimited:
        :sbsize=unlimited:
        :vmemoryuse=unlimited:
        :swapuse=unlimited:
        :pseudoterminals=unlimited:
        :kqueues=unlimited:
        :umtxp=unlimited:
        :priority=0:
        :ignoretime@:
        :umask=022:
        :label=mls/equal:

:label=mls/equal 행은 이 클래스의 구성원인 사용자가 모든 레이블(mls/low, mls/high)로 표시된 파일에 액세스할 수 있도록 허용합니다. 이러한 조작 후에는 데이터베이스를 다시 작성하고 루트 사용자(및 필요한 사용자)를 이 로그인 클래스에 배치해야 합니다.

cap_mkdb /etc/login.conf
pw usermod root -L default

정책을 파일에만 적용하려면 /etc/mac.conf 파일을 편집하여 한 줄만 남겨야 합니다.

default_labels file ?mls

또한 자동 실행을 위해 mac_mls.ko 모듈을 추가해야 합니다:

echo 'mac_mls_load="YES"' >> /boot/loader.conf

그런 다음 시스템을 안전하게 재부팅할 수 있습니다. 만드는 방법 교도소 내 출판물 중 하나에서 읽을 수 있습니다. 하지만 감옥을 만들기 전에 하드 드라이브를 추가하고 여기에 파일 시스템을 생성하고 다중 레이블을 활성화해야 하며 클러스터 크기가 2kb인 ufs64 파일 시스템을 생성해야 합니다.

newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1

파일 시스템을 생성하고 다중 레이블을 추가한 후 /etc/fstab에 하드 드라이브를 추가하고 다음 줄을 파일에 추가해야 합니다.

/dev/ada1               /jail  ufs     rw              0       1

Mountpoint에서는 하드 드라이브를 마운트할 디렉터리를 지정하고, Pass에서는 1(이 하드 드라이브를 검사할 순서)을 지정해야 합니다. ufs 파일 시스템은 갑작스러운 정전에 민감하므로 이 작업이 필요합니다. . 다음 단계 후에 디스크를 마운트합니다.

mount /dev/ada1 /jail

이 디렉토리에 Jail을 설치하십시오. 감옥이 실행된 후에는 사용자와 /etc/login.conf, /etc/mac.conf 파일을 사용하여 기본 시스템에서와 동일한 조작을 수행해야 합니다.

조정

필요한 태그를 설치하기 전에 필요한 모든 패키지를 설치하는 것이 좋습니다. 제 경우에는 다음 패키지를 고려하여 태그가 설정됩니다.

mod_php73-7.3.4_1              PHP Scripting Language
php73-7.3.4_1                  PHP Scripting Language
php73-ctype-7.3.4_1            The ctype shared extension for php
php73-curl-7.3.4_1             The curl shared extension for php
php73-dom-7.3.4_1              The dom shared extension for php
php73-extensions-1.0           "meta-port" to install PHP extensions
php73-filter-7.3.4_1           The filter shared extension for php
php73-gd-7.3.4_1               The gd shared extension for php
php73-gettext-7.3.4_1          The gettext shared extension for php
php73-hash-7.3.4_1             The hash shared extension for php
php73-iconv-7.3.4_1            The iconv shared extension for php
php73-json-7.3.4_1             The json shared extension for php
php73-mysqli-7.3.4_1           The mysqli shared extension for php
php73-opcache-7.3.4_1          The opcache shared extension for php
php73-openssl-7.3.4_1          The openssl shared extension for php
php73-pdo-7.3.4_1              The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1       The pdo_sqlite shared extension for php
php73-phar-7.3.4_1             The phar shared extension for php
php73-posix-7.3.4_1            The posix shared extension for php
php73-session-7.3.4_1          The session shared extension for php
php73-simplexml-7.3.4_1        The simplexml shared extension for php
php73-sqlite3-7.3.4_1          The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1        The tokenizer shared extension for php
php73-xml-7.3.4_1              The xml shared extension for php
php73-xmlreader-7.3.4_1        The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1           The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1        The xmlwriter shared extension for php
php73-xsl-7.3.4_1              The xsl shared extension for php
php73-zip-7.3.4_1              The zip shared extension for php
php73-zlib-7.3.4_1             The zlib shared extension for php
apache24-2.4.39 

이 예에서는 이러한 패키지의 종속성을 고려하여 레이블이 설정됩니다. 물론 더 간단하게 할 수 있습니다. /usr/local/lib 폴더와 이 디렉토리에 있는 파일에 대해 mls/low 레이블을 설정하면 후속 설치된 패키지(예: PHP용 추가 확장)가 액세스할 수 있습니다. 하지만 나에게는 필요한 파일에만 액세스를 제공하는 것이 더 나은 것 같습니다. 감옥을 중지하고 모든 파일에 mls/high 레이블을 설정하십시오.

setfmac -R mls/high /jail

표시를 설정할 때 setfmac이 하드 링크를 발견하면 프로세스가 중지됩니다. 제 예에서는 다음 디렉토리에서 하드 링크를 삭제했습니다.

/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl

레이블을 설정한 후 Apache에 대한 mls/low 레이블을 설정해야 합니다. 가장 먼저 해야 할 일은 Apache를 시작하는 데 필요한 파일을 찾는 것입니다.

ldd /usr/local/sbin/httpd

이 명령을 실행하면 종속성이 화면에 표시되지만 이러한 파일에 필요한 레이블을 설정하는 것만으로는 충분하지 않습니다. 왜냐하면 이러한 파일이 있는 디렉터리에는 mls/high 레이블이 있으므로 이러한 디렉터리에도 레이블을 지정해야 하기 때문입니다. mls/낮음. Apache를 시작할 때 Apache를 실행하는 데 필요한 파일도 출력하며, PHP의 경우 이러한 종속성은 httpd-error.log 로그에서 찾을 수 있습니다.

setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac  mls/low /dev
setfmac  mls/low /dev/random
setfmac  mls/low /usr/local/libexec
setfmac  mls/low /usr/local/libexec/apache24
setfmac  mls/low /usr/local/libexec/apache24/*
setfmac  mls/low /etc/pwd.db
setfmac  mls/low /etc/passwd
setfmac  mls/low /etc/group
setfmac  mls/low /etc/
setfmac  mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf

이 목록에는 apache와 php 조합이 올바르게 작동하는 데 필요한 모든 파일에 대한 mls/low 태그가 포함되어 있습니다(예제에 설치된 패키지의 경우).

마지막 작업은 mls/equal 수준에서 실행되도록 감옥을 구성하고 mls/low 수준에서 아파치를 구성하는 것입니다. 감옥을 시작하려면 /etc/rc.d/jail 스크립트를 변경하고, 이 스크립트에서jail_start 함수를 찾고, 명령 변수를 다음 형식으로 변경해야 합니다.

command="setpmac mls/equal $jail_program"

setpmac 명령은 모든 레이블에 액세스할 수 있도록 필요한 기능 수준(이 경우 mls/equal)에서 실행 파일을 실행합니다. Apache에서는 시작 스크립트 /usr/local/etc/rc.d/apache24를 편집해야 합니다. apache24_prestart 함수를 변경합니다:

apache24_prestart() {
        apache24_checkfib
        apache24_precmd
        eval "setpmac mls/low" ${command} ${apache24_flags}
}

В 관리 매뉴얼에는 또 다른 예시가 나와 있는데, setpmac 명령어를 사용할 수 없다는 메시지가 계속 나와서 사용할 수 없었습니다.

출력

이 액세스 분산 방법은 Apache에 추가 보안 수준을 추가하며(이 방법은 다른 스택에 적합하지만) 감옥에서 실행되는 동시에 관리자에게는 이 모든 것이 투명하고 눈에 띄지 않게 발생합니다.

이 출판물을 작성하는 데 도움이 된 출처 목록:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

출처 : habr.com