Wprowadzenie
Aby zapewnić dodatkowy poziom bezpieczeństwa serwera, możesz użyć dystrybucja dostępu. W tej publikacji opisano, jak uruchomić Apache w więzieniu z dostępem tylko do tych komponentów, które wymagają dostępu, aby Apache i php działały poprawnie. Korzystając z tej zasady, możesz ograniczyć nie tylko Apache, ale także każdy inny stos.
Szkolenie
Ta metoda jest odpowiednia tylko dla systemu plików ufs; w tym przykładzie zfs zostanie użyty odpowiednio w systemie głównym, a ufs w więzieniu. Pierwszym krokiem jest przebudowa jądra; podczas instalacji FreeBSD zainstaluj kod źródłowy.
Po zainstalowaniu systemu edytuj plik:
/usr/src/sys/amd64/conf/GENERIC
Wystarczy dodać tylko jedną linię do tego pliku:
options MAC_MLS
Etykieta mls/high będzie miała dominującą pozycję w stosunku do etykiety mls/low, aplikacje, które zostaną uruchomione z etykietą mls/low, nie będą mogły uzyskać dostępu do plików opatrzonych etykietą mls/high. Więcej szczegółów na temat wszystkich dostępnych tagów w systemie FreeBSD można znaleźć w tym miejscu .
Następnie przejdź do katalogu /usr/src:
cd /usr/src
Aby rozpocząć budowę jądra, uruchom (w klawiszu j podaj liczbę rdzeni w systemie):
make -j 4 buildkernel KERNCONF=GENERIC
Po skompilowaniu jądra należy je zainstalować:
make installkernel KERNCONF=GENERIC
Po zainstalowaniu jądra nie spiesz się, aby ponownie uruchomić system, ponieważ konieczne jest przeniesienie użytkowników do klasy logowania po wcześniejszej konfiguracji. Edytuj plik /etc/login.conf, w tym pliku musisz edytować domyślną klasę logowania, przenieś ją do postaci:
default:
:passwd_format=sha512:
:copyright=/etc/COPYRIGHT:
:welcome=/etc/motd:
:setenv=MAIL=/var/mail/$,BLOCKSIZE=K:
:path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:
:nologin=/var/run/nologin:
:cputime=unlimited:
:datasize=unlimited:
:stacksize=unlimited:
:memorylocked=64K:
:memoryuse=unlimited:
:filesize=unlimited:
:coredumpsize=unlimited:
:openfiles=unlimited:
:maxproc=unlimited:
:sbsize=unlimited:
:vmemoryuse=unlimited:
:swapuse=unlimited:
:pseudoterminals=unlimited:
:kqueues=unlimited:
:umtxp=unlimited:
:priority=0:
:ignoretime@:
:umask=022:
:label=mls/equal:
Linia :label=mls/equal umożliwi użytkownikom będącym członkami tej klasy dostęp do plików oznaczonych dowolną etykietą (mls/low, mls/high). Po tych manipulacjach musisz odbudować bazę danych i umieścić użytkownika root (a także tych, którzy go potrzebują) w tej klasie logowania:
cap_mkdb /etc/login.conf
pw usermod root -L default
Aby polityka miała zastosowanie tylko do plików należy dokonać edycji pliku /etc/mac.conf, pozostawiając w nim tylko jedną linię:
default_labels file ?mls
Musisz także dodać moduł mac_mls.ko do autorun:
echo 'mac_mls_load="YES"' >> /boot/loader.conf
Następnie możesz bezpiecznie ponownie uruchomić system. Jak stworzyć Można o tym przeczytać w jednej z moich publikacji. Ale przed utworzeniem więzienia musisz dodać dysk twardy i utworzyć na nim system plików i włączyć na nim obsługę wielu etykiet, utworzyć system plików ufs2 o rozmiarze klastra 64 kb:
newfs -O 2 -b 64kb /dev/ada1
tunefs -l enable /dev/ada1
Po utworzeniu systemu plików i dodaniu multilabel musisz dodać dysk twardy do /etc/fstab, dodać linię do tego pliku:
/dev/ada1 /jail ufs rw 0 1
W Mountpoint określ katalog, w którym zamontujesz dysk twardy; w Pass koniecznie podaj 1 (w jakiej kolejności ten dysk twardy będzie sprawdzany) - jest to konieczne, ponieważ system plików ufs jest wrażliwy na nagłe przerwy w dostawie prądu . Po wykonaniu tych kroków zamontuj dysk:
mount /dev/ada1 /jail
Zainstaluj jail w tym katalogu. Po uruchomieniu więzienia musisz wykonać w nim te same manipulacje, co w systemie głównym z użytkownikami i plikami /etc/login.conf, /etc/mac.conf.
regulacja
Przed zainstalowaniem niezbędnych tagów polecam zainstalować wszystkie niezbędne pakiety, w moim przypadku tagi zostaną ustawione z uwzględnieniem tych pakietów:
mod_php73-7.3.4_1 PHP Scripting Language
php73-7.3.4_1 PHP Scripting Language
php73-ctype-7.3.4_1 The ctype shared extension for php
php73-curl-7.3.4_1 The curl shared extension for php
php73-dom-7.3.4_1 The dom shared extension for php
php73-extensions-1.0 "meta-port" to install PHP extensions
php73-filter-7.3.4_1 The filter shared extension for php
php73-gd-7.3.4_1 The gd shared extension for php
php73-gettext-7.3.4_1 The gettext shared extension for php
php73-hash-7.3.4_1 The hash shared extension for php
php73-iconv-7.3.4_1 The iconv shared extension for php
php73-json-7.3.4_1 The json shared extension for php
php73-mysqli-7.3.4_1 The mysqli shared extension for php
php73-opcache-7.3.4_1 The opcache shared extension for php
php73-openssl-7.3.4_1 The openssl shared extension for php
php73-pdo-7.3.4_1 The pdo shared extension for php
php73-pdo_sqlite-7.3.4_1 The pdo_sqlite shared extension for php
php73-phar-7.3.4_1 The phar shared extension for php
php73-posix-7.3.4_1 The posix shared extension for php
php73-session-7.3.4_1 The session shared extension for php
php73-simplexml-7.3.4_1 The simplexml shared extension for php
php73-sqlite3-7.3.4_1 The sqlite3 shared extension for php
php73-tokenizer-7.3.4_1 The tokenizer shared extension for php
php73-xml-7.3.4_1 The xml shared extension for php
php73-xmlreader-7.3.4_1 The xmlreader shared extension for php
php73-xmlrpc-7.3.4_1 The xmlrpc shared extension for php
php73-xmlwriter-7.3.4_1 The xmlwriter shared extension for php
php73-xsl-7.3.4_1 The xsl shared extension for php
php73-zip-7.3.4_1 The zip shared extension for php
php73-zlib-7.3.4_1 The zlib shared extension for php
apache24-2.4.39
W tym przykładzie etykiety zostaną ustawione z uwzględnieniem zależności tych pakietów. Można to oczywiście zrobić prościej: dla folderu /usr/local/lib i plików znajdujących się w tym katalogu ustaw etykiety mls/low i kolejne instalowane pakiety (np. dodatkowe rozszerzenia dla php) będą mogły uzyskać dostęp biblioteki w tym katalogu, ale wydaje mi się, że lepiej będzie zapewnić dostęp tylko do tych plików, które są niezbędne. Zatrzymaj więzienie i ustaw etykiety mls/high na wszystkich plikach:
setfmac -R mls/high /jail
Podczas ustawiania znaczników proces zostanie zatrzymany, jeśli setfmac napotka twarde linki, w moim przykładzie usunąłem twarde linki w następujących katalogach:
/var/db/etcupdate/current/
/var/db/etcupdate/current/etc
/var/db/etcupdate/current/usr/share/openssl/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.ISO8859-15
/var/db/etcupdate/current/usr/share/man/en.UTF-8
/var/db/etcupdate/current/usr/share/nls
/etc/ssl
/usr/local/etc
/usr/local/etc/fonts/conf.d
/usr/local/openssl
Po ustawieniu etykiet musisz ustawić etykiety mls/low dla Apache. Pierwszą rzeczą, którą musisz zrobić, to dowiedzieć się, jakie pliki są potrzebne do uruchomienia Apache:
ldd /usr/local/sbin/httpd
Po wykonaniu tego polecenia na ekranie zostaną wyświetlone zależności, ale ustawienie niezbędnych etykiet na tych plikach nie wystarczy, ponieważ katalogi, w których znajdują się te pliki, mają etykietę mls/high, więc te katalogi również muszą być oznaczone ml/nisko. Podczas uruchamiania Apache wyświetli również pliki niezbędne do jego uruchomienia, a w przypadku php te zależności można znaleźć w dzienniku httpd-error.log.
setfmac mls/low /
setfmac mls/low /usr/local/lib/libpcre.so.1
setfmac mls/low /usr/local/lib/libaprutil-1.so.0
setfmac mls/low /usr/local/lib/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/libgdbm.so.6
setfmac mls/low /usr/local/lib/libexpat.so.1
setfmac mls/low /usr/local/lib/libapr-1.so.0
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /lib/libc.so.7
setfmac mls/low /usr/local/lib/libintl.so.8
setfmac mls/low /var
setfmac mls/low /var/run
setfmac mls/low /var/log
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac mls/low /var/run/httpd.pid
setfmac mls/low /lib
setfmac mls/low /lib/libcrypt.so.5
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0
setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0
setfmac mls/low /usr/local/lib/db5
setfmac mls/low /usr/local/lib
setfmac mls/low /libexec
setfmac mls/low /libexec/ld-elf.so.1
setfmac mls/low /dev
setfmac mls/low /dev/random
setfmac mls/low /usr/local/libexec
setfmac mls/low /usr/local/libexec/apache24
setfmac mls/low /usr/local/libexec/apache24/*
setfmac mls/low /etc/pwd.db
setfmac mls/low /etc/passwd
setfmac mls/low /etc/group
setfmac mls/low /etc/
setfmac mls/low /usr/local/etc
setfmac -R mls/low /usr/local/etc/apache24
setfmac mls/low /usr
setfmac mls/low /usr/local
setfmac mls/low /usr/local/sbin
setfmac mls/low /usr/local/sbin/*
setfmac -R mls/low /usr/local/etc/rc.d/
setfmac mls/low /usr/local/sbin/htcacheclean
setfmac mls/low /var/log/httpd-access.log
setfmac mls/low /var/log/httpd-error.log
setfmac -R mls/low /usr/local/www
setfmac mls/low /usr/lib
setfmac mls/low /tmp
setfmac -R mls/low /usr/local/lib/php
setfmac -R mls/low /usr/local/etc/php
setfmac mls/low /usr/local/etc/php.conf
setfmac mls/low /lib/libelf.so.2
setfmac mls/low /lib/libm.so.5
setfmac mls/low /usr/local/lib/libxml2.so.2
setfmac mls/low /lib/libz.so.6
setfmac mls/low /usr/lib/liblzma.so.5
setfmac mls/low /usr/local/lib/libiconv.so.2
setfmac mls/low /usr/lib/librt.so.1
setfmac mls/low /lib/libthr.so.3
setfmac mls/low /usr/local/lib/libpng16.so.16
setfmac mls/low /usr/lib/libbz2.so.4
setfmac mls/low /usr/local/lib/libargon2.so.0
setfmac mls/low /usr/local/lib/libpcre2-8.so.0
setfmac mls/low /usr/local/lib/libsqlite3.so.0
setfmac mls/low /usr/local/lib/libgd.so.6
setfmac mls/low /usr/local/lib/libjpeg.so.8
setfmac mls/low /usr/local/lib/libfreetype.so
setfmac mls/low /usr/local/lib/libfontconfig.so.1
setfmac mls/low /usr/local/lib/libtiff.so.5
setfmac mls/low /usr/local/lib/libwebp.so.7
setfmac mls/low /usr/local/lib/libjbig.so.2
setfmac mls/low /usr/lib/libssl.so.8
setfmac mls/low /lib/libcrypto.so.8
setfmac mls/low /usr/local/lib/libzip.so.5
setfmac mls/low /etc/resolv.conf
Lista ta zawiera znaczniki mls/low dla wszystkich plików niezbędnych do poprawnego działania kombinacji Apache i php (dla tych pakietów, które są zainstalowane w moim przykładzie).
Ostatnim akcentem będzie skonfigurowanie więzienia do działania na poziomie mls/równym, a Apache na poziomie mls/niskim. Aby uruchomić jail należy dokonać zmian w skrypcie /etc/rc.d/jail, znaleźć w tym skrypcie funkcje jail_start, zmienić zmienną polecenia na postać:
command="setpmac mls/equal $jail_program"
Polecenie setpmac uruchamia plik wykonywalny na wymaganym poziomie możliwości, w tym przypadku mls/equal, aby mieć dostęp do wszystkich etykiet. W Apache musisz edytować skrypt startowy /usr/local/etc/rc.d/apache24. Zmień funkcję Apache24_prestart:
apache24_prestart() {
apache24_checkfib
apache24_precmd
eval "setpmac mls/low" ${command} ${apache24_flags}
}
В W instrukcji jest jeszcze jeden przykład, jednak nie udało mi się z niego skorzystać, gdyż ciągle wyskakiwał mi komunikat o braku możliwości użycia polecenia setpmac.
Wniosek
Ta metoda dystrybucji dostępu doda dodatkowy poziom bezpieczeństwa Apache (chociaż ta metoda jest odpowiednia dla każdego innego stosu), który w dodatku działa w więzieniu, jednocześnie dla administratora wszystko to odbędzie się w sposób przejrzysty i niezauważalny.
Lista źródeł, które pomogły mi w pisaniu tej publikacji:
Źródło: www.habr.com