W tym wpisie pokażę jak można zwiększyć bezpieczeństwo użytkownika, a zarazem bezpieczeństwo serwera.
Większość administratorów używa opcji montowania noexec, w celu zakazu uruchamiania przez użytkowników wlasnych programów lub np: ich kompilacji. Osobiście w tym celu używam Selinuxa, co wydaję sie w moim odczuciu lepszym rozwiązaniem. Dodatkowo użytkownik zmapowany do użytkownika Selinux (user_u) ma większe ograniczenia poprzez wymuszenia za pomocą setsebool. Przykladem jest selinuxuser_execstack, który zabrania wykonywania programow na stosie. Taka opcja zwiększa też znacznie bezpieczenstwo przeciwko buffer overflow. Przyklady poniżej:

  1. Dodajemy i od razu mapujemy użytkownika do użytkownika Selinux user_u:[root@Server ~]# useradd -Z user_u zenek2. Sprawdzamy czy użytkownik zostal poprawnie dodany.

    3. Zabraniamy użytkownikowi uruchamiania własnych programów/skryptów.

    4. Logujemy sie przez ssh jako zenek i odpalamy skrypt w bashu.

    Jak widać udało się nam osiągnąć zamierzony efekt. Dodatkowo wyłączymy możliwość uruchamiania programow na stosie co znacznie zwiększy bezpieczeństwo. Przypominam tylko, ze spora część programów jak np java się nie uruchomi z poziomu usera, który jest użytkownikiem Selinux przy wyłączonym execstack.

    [root@Server ~]# setsebool -P selinuxuser_execheap=off selinuxuser_execmod=off selinuxuser_execstack=off

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.