나는 몇 사람을 위해 구식 쉘 서버를 운영하고 싶습니다. 사용자가 SSH 액세스 권한을 얻어 소프트웨어(자체 또는 제공)를 실행할 수 있는 곳입니다.내 관심사는 사용자 간의 적절한 분리입니다.
나는 그들이 서로의 프로세스를 보거나 (명시적으로 허용되지 않는 한) 서로의 파일에 액세스하는 것을 원하지 않습니다. 모든 권한 상승 버그에 물리지 않거나 모든 사소한 커널 업데이트로 서버를 다시 시작하지 않는 것이 좋을 것입니다. 이러한 보안 조치를 적용하여 일반 서비스(웹 및 메일 호스팅 등)를 실행하는 옵션을 유지하는 것이 완벽할 것입니다.
예전에는 grsec을 사용했지만 이를 위해서는 이전 커널을 유지하고 직접 컴파일해야 하는 번거로움을 처리해야 했습니다.공유 서버에서 사용자 분리를 보장하는 보다 현대적이고 Ubuntu적인 방법이 있습니까?
아마도 AppArmor를 사용하여 그 효과를 얻을 수 있을까요? 아니면 공유 환경을 위해 사전 구성된 커널 저장소가 있습니까? 아니면 컨테이너 기반 솔루션인가요? 최근 이런 것들이 유행하고 있습니다.
답변1
hidepid
procfs
이제 Linux에서는 이 hidepid
옵션을 지원합니다. 에서man 5 proc
:
hidepid=n (since Linux 3.3)
This option controls who can access the information in
/proc/[pid] directories. The argument, n, is one of the
following values:
0 Everybody may access all /proc/[pid] directories. This is
the traditional behavior, and the default if this mount
option is not specified.
1 Users may not access files and subdirectories inside any
/proc/[pid] directories but their own (the /proc/[pid]
directories themselves remain visible). Sensitive files
such as /proc/[pid]/cmdline and /proc/[pid]/status are now
protected against other users. This makes it impossible to
learn whether any user is running a specific program (so
long as the program doesn't otherwise reveal itself by its
behavior).
2 As for mode 1, but in addition the /proc/[pid] directories
belonging to other users become invisible. This means that
/proc/[pid] entries can no longer be used to discover the
PIDs on the system. This doesn't hide the fact that a
process with a specific PID value exists (it can be learned
by other means, for example, by "kill -0 $PID"), but it
hides a process's UID and GID, which could otherwise be
learned by employing stat(2) on a /proc/[pid] directory.
This greatly complicates an attacker's task of gathering
information about running processes (e.g., discovering
whether some daemon is running with elevated privileges,
whether another user is running some sensitive program,
whether other users are running any program at all, and so
on).
gid=gid (since Linux 3.3)
Specifies the ID of a group whose members are authorized to
learn process information otherwise prohibited by hidepid
(ie/e/, users in this group behave as though /proc was mounted
with hidepid=0. This group should be used instead of approaches
such as putting nonroot users into the sudoers(5) file.
따라서 를 /proc
사용하여 마운트하면 hidepid=2
Linux > 3.3에서 다른 사용자의 프로세스 세부 정보를 숨기기에 충분합니다. Ubuntu 12.04는 기본적으로 3.2와 함께 제공되지만 최신 커널을 설치할 수 있습니다. Ubuntu 14.04 이상은 이 요구 사항을 쉽게 충족합니다.
ACL
첫 번째 단계로 rwx
모든 홈 디렉터리에서 다른 사람의 권한을 제거합니다(필요한 경우 그룹에 대해서도 마찬가지). 물론 홈 디렉토리가 포함된 폴더에는 루트를 제외한 누구에게도 쓰기 권한이 없다고 가정합니다.
그런 다음 ACL을 사용하여 웹 서버 및 메일 서버와 같은 서비스에 적절한 디렉터리에 대한 액세스 권한을 부여합니다. 예를 들어 웹 서버 프로세스에 사용자 홈 페이지에 대한 액세스 권한을 부여하려면 www-data
사용자가 이고 ~/public_html
홈 페이지가 보관되는 위치라고 가정합니다.
setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html
마찬가지로 메일 프로세스 및 메일함 디렉터리에 대한 ACL을 추가합니다.
ACL은 최소한 Ubuntu 14.04 이상에서는 ext4에서 기본적으로 활성화되어 있습니다.
/tmp
그리고umask
또 다른 문제는 입니다 /tmp
. umask
파일을 그룹 또는 누구나 읽을 수 없도록 설정하여 다른 사용자가 사용자의 임시 파일에 액세스할 수 없도록 합니다.
이 세 가지 설정을 사용하면 사용자는 다른 사용자의 파일에 액세스하거나 해당 프로세스를 검사할 수 없어야 합니다.