Como garantir a separação do usuário em um servidor shell da velha escola

9

Eu quero executar um servidor shell da velha escola para algumas pessoas, ou seja. aquele em que os usuários obtêm acesso ssh para que possam executar o software (próprio ou fornecido). Minha preocupação é a separação adequada entre os usuários.

Não quero que eles vejam os processos, acessem os arquivos uns dos outros (a menos que seja explicitamente permitido) etc. Seria bom não ser mordido por todos os erros de escalonamento de privilégios ou reiniciar o servidor com todas as atualizações menores do kernel. Seria perfeito manter a opção de executar serviços comuns (como hospedagem na web e e-mail) com essas medidas de segurança em vigor.

Antigamente eu usava o grsec, mas isso requer permanecer em um kernel mais antigo e lidar com o incômodo de compilá-lo. Existe uma maneira mais moderna e mais Ubuntu de garantir a separação do usuário em um servidor compartilhado?

Talvez você possa fazer algo com o AppArmor nesse sentido? Ou talvez haja um repositório de kernels pré-configurado para ambientes compartilhados? Ou uma solução baseada em contêineres? Estes estão em voga ultimamente.

server kernel ssh security multi-user Damn Terminal
fonte
Docker
Jakuje

Respostas:

9

hidepid

procfsno Linux agora suporta a hidepidopção. De man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Portanto, montar /proccom hidepid=2é suficiente para ocultar os detalhes dos processos de outros usuários no Linux> 3.3. O Ubuntu 12.04 vem com 3.2 por padrão, mas você pode instalar kernels mais recentes. O Ubuntu 14.04 e superior correspondem facilmente a esse requisito.

ACLs

Como primeira etapa, remova as rwxpermissões de outras pessoas de todos os diretórios pessoais (e também de grupos, se necessário). Suponho, é claro, que as pastas que contêm os diretórios pessoais não têm permissão de gravação para ninguém, exceto o root.

Em seguida, conceda serviços como o servidor da Web e o servidor de correio aos diretórios apropriados usando ACLs. Por exemplo, para conceder ao processo do servidor da Web acesso às home pages do usuário, assumindo que www-dataé o usuário e ~/public_htmlé onde a home page é mantida:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Da mesma forma, adicione ACLs para os processos de email e os diretórios da caixa de correio.

As ACLs são ativadas por padrão no ext4 pelo menos no Ubuntu 14.04 e superior.

/tmp e umask

Outro problema é /tmp. Defina umaskpara que os arquivos não sejam legíveis por grupo ou pelo mundo, para que os arquivos temporários dos usuários não sejam acessíveis a outros usuários.

Com essas três configurações, os usuários não devem conseguir acessar os arquivos de outros usuários nem examinar seus processos.

muru
fonte
2
Uma alternativa ou adição a arquivos separados /tmpé o pacote libpam-tmpdir: ele cria um diretório /tmp/userde propriedade raiz e não legível ao mundo e diretórios de propriedade do usuário, legíveis ao mundo e não passíveis de mundo /tmp/user/$UIDpara todos os usuários (após o primeiro log-in) e define a variável de ambiente TMP_DIRpara apontar para a última. A maioria dos programas funciona bem e coloca seus arquivos temporários dentro, $TMP_DIRse definidos.
David Foerster