लिनक्स पर स्थानीय उपयोगकर्ता अधिकारों को न्यूनतम तक सीमित करना

एक दिन, निम्न कार्य दिखाई दिया: लिनक्स में एक स्थानीय उपयोगकर्ता बनाने के लिए, फ़ोल्डर और फ़ाइलों तक सीमित पहुंच के साथ, जिसमें न केवल संपादन, बल्कि देखने, साथ ही केवल उपयोग किए गए उपयोगिताओं की क्षमता भी शामिल है। केवल स्थानीय पहुँच प्रदान की जाती है, कोई नेटवर्क पहुँच नहीं है।

पहिया को सुदृढ़ नहीं करने के लिए, मैंने जो पहला काम किया था, वह इंटरनेट को खोदना शुरू कर रहा था, जिसके परिणामस्वरूप निम्नलिखित विकल्प थे:

• नेटवर्क सेवाओं के माध्यम से एक्सेस प्रतिबंध ssh, sftp (फिट नहीं था)
• लिनक्स ऑपरेटिंग सिस्टम द्वारा एक्सेस अधिकारों का भेदभाव खुद (फिट नहीं था, मैं एक सार्वभौमिक समाधान चाहूंगा)
• चेरोट का उपयोग करना (फिट नहीं था)
• तृतीय-पक्ष उपयोगिताओं का उपयोग, उदाहरण के लिए SELinux (फिट नहीं था, सिस्टम को जटिल करता है)।

खोज के परिणामस्वरूप, बैश शेल के भीतर उपयोगकर्ता क्षमताओं को प्रतिबंधित करने के लिए एक अंतर्निहित तंत्र पाया गया, इसे प्रतिबंधित शेल या आरबैश कहा जाता है।

यह निम्नलिखित प्रतिबंधों को लागू करता है:

• सीडी कमांड के साथ डायरेक्टरी को बदलने का कोई तरीका नहीं है
• आप चर, पथ, ENV, BASH_ENV के मानों को रीसेट या बदल नहीं सकते
• / (स्लैश) युक्त आदेशों को निर्दिष्ट करना निषिद्ध है
• मुख्य शेल से फ़ंक्शन आयात करना मना है
• यह ऑपरेटरों>, <, |, <>,> &, और>, >> का उपयोग करके आउटपुट को पुनर्निर्देशित करने से मना किया गया है
• कमांड आदि को बदलने के लिए एग्जीक्यूट कमांड का इस्तेमाल करना मना है।

एक ऋण है, यह सुरक्षा है, इसलिए .bashrc शेल (सूचना आगे होगी) के व्यवहार फ़ाइल में आदेशों के लिए उपनाम जोड़ने के लिए आवश्यक है।

बेशक, rashash बॉक्स से बाहर है, यह सभी समस्याओं का समाधान नहीं करता है, इसलिए, उदाहरण के लिए, हम एक उपयोगकर्ता बनाने और हमारी समस्या के पूर्ण समाधान के लिए अपना वातावरण स्थापित करने पर विचार करते हैं।

इसके अलावा, सभी ऑपरेशन सुपरयूज़र (रूट) से किए जाते हैं।

1. एक सीमित शेल बनाएं

echo '/bin/bash -r' > /bin/zbash chmod +x /bin/zbash 

2. एक उपयोगकर्ता बनाएँ

 adduser --home /home/zuser --shell /bin/zbash zuser 

3. निर्देशिका अनुमतियाँ बदलें

 chown root.zuser /home/zuser chmod 750 /home/zuser 

4. डायरेक्टरी में जाएं और उसे साफ करें

 cd ~zuser ls -a rm .bash* rm .profile ls -a 

5. शेल और अधिकारों को अनुकूलित करें

 echo "PATH=:/home/zuser/bin" > .bashrc echo "alias help='echo access is limited'" >> .bashrc # alias   help echo "bind 'set disable-completion on'" >> .bashrc #    tab mkdir -p bin chmod 750 bin chown -R root.zuser /home/zuser chmod 640 .bash* 

.Bashrc फ़ाइल शेल के व्यवहार को परिभाषित करती है, कमांड या अतिरिक्त विकल्प के लिए उपनाम इस फ़ाइल में जोड़ा जा सकता है।

सुरक्षा सुनिश्चित करने के लिए, निम्नलिखित कमांड चलाएँ:

 echo "alias echo=':'" >> .bashrc echo "alias cat=':'" >> .bashrc echo "alias bash=':'" >> .bashrc echo "alias sh=':'" >> .bashrc echo "alias ln=':'" >> .bashrc echo "alias set=':'" >> .bashrc echo "alias uset=':'" >> .bashrc echo "alias export=':'" >> .bashrc echo "alias typeset=':'" >> .bashrc echo "alias declare=':'" >> .bashrc echo "alias alias=':'" >> .bashrc echo "alias unalias=':'" >> .bashrc 

सूची जारी ...

6. काम की जाँच करें

 root@host: su zuser zuser@host: help access is limited zuser@host: pwd /home/zuser zuser@host: ls /tmp/ bash: ls:    zuser@host: /bin/ls bash: /bin/ls:         {/} zuser@host: echo $PATH :/home/zuser/bin zuser@host: PATH=/bin/ bash: PATH:     zuser@host: exit 

7. मान्य आदेश जोड़ें

 ln -s /bin/ping /home/zuser/bin/ping 

महत्वपूर्ण रूप से, ln कमांड में पथ पूरी तरह से निर्दिष्ट होना चाहिए।

8. कमांड के विकल्पों को सीमित करने के लिए आप रैपर का उपयोग कर सकते हैं।

 mkdir /var/scripts echo "/usr/sbin/useradd -D" > /var/scripts/user-info chmod +x /var/scripts/user-info ln -s /var/scripts/user-info /home/zuser/bin/user-info 

9. आप फ़ाइलों और फ़ोल्डरों के साथ काम करने के लिए एक आवरण भी बना सकते हैं।
एक काली सूची के साथ (इसके अलावा सब कुछ अनुमति दें):
- एक फ़ाइल बनाएँ

 nano /var/scripts/ls 

- फ़ाइल सामग्री

 blacklist="\? ../ /etc /bin /boot /var" for var in $blacklist do if [[ $* == *$var* ]]; then echo 'Access is denied:' $* exit fi done /bin/ls $* 

ब्लैकलिस्ट - एक वैरिएबल जिसमें निर्देशिकाओं या फाइलों की ब्लैकलिस्ट होती है (रिक्त स्थान से अलग)
- उपयोगकर्ता ज़ुसर के लिए कमांड जोड़ें

 chmod +x /var/scripts/ls ln -s /var/scripts/ls /home/zuser/bin/ls 

यह स्क्रिप्ट आपको निर्देशिकाओं और फ़ाइलों के लिए किसी भी कुंजी के साथ ls कमांड निष्पादित करने की अनुमति देती है जो ब्लैकलिस्ट से मेल नहीं खाती हैं

एक सफेद सूची के साथ (सभी चीजों को छोड़कर)
- एक फ़ाइल बनाएँ

 nano /var/scripts/cat 

- फ़ाइल सामग्री

 whitelist="./ /tmp/" #   for var in $whitelist do if [[ $* == *$var* ]]; then /bin/cat $* #   cat    exit fi done echo 'Access is denied:' $* 

श्वेतसूची - एक चर जिसमें निर्देशिकाओं या फाइलों की एक सफेद सूची होती है (अंतरिक्ष अलग)
- उपयोगकर्ता ज़ुसर के लिए कमांड जोड़ें

 chmod +x /var/scripts/cat ln -s /var/scripts/cat /home/zuser/bin/cat 

यह स्क्रिप्ट आपको सफेद सूची में निर्दिष्ट फ़ाइलों के साथ बिल्ली कमांड को निष्पादित करने की अनुमति देती है।

किया , हम अंत में निम्नलिखित परिणाम मिला:

• हमने rbash शेल के साथ एक zuser उपयोगकर्ता बनाया
• कंसोल में ऑटो-पूर्णता का उपयोग करने की क्षमता को अक्षम कर दिया
• ज़ुसर केवल निर्देशिका / होम / ज़ुसर / बिन से उपयोगिताओं को चला सकता है
• पिंग कमांड को जूसर में जोड़ा
• उपयोगकर्ता-जानकारी कमांड को उपयोगकर्ता के ज़ुसर में जोड़ा गया
• zuser को ls और cat कमांड को निष्पादित करने के लिए रैपर के माध्यम से प्रतिबंधित किया गया था

यह विधि दुर्भाग्य से 100% सुरक्षा की गारंटी नहीं देती है, और कुछ ज्ञान और योग्यता के साथ, उपयोगकर्ता इस शेल को छोड़ सकता है। Jouretz के लिए धन्यवाद टिप्पणी में YaDr arheops उन्होंने शेल प्रतिबंधों को दरकिनार करने के उदाहरण प्रदान किए ।

इस समाधान (शेल एस्केप) में निम्नलिखित कमजोरियां मौजूद हैं, जिन्हें ध्यान में रखा जाना चाहिए:

पथ	पाथ चर को बदलने की क्षमता
फ़ाइलों की प्रतिलिपि बनाएँ	अपनी स्क्रिप्ट अपलोड करने की क्षमता
Ssh के माध्यम से कनेक्ट करते समय, आप शेल को बदल सकते हैं	ssh zuser@xxxx -t "/bin/bash"
Ssh के माध्यम से कनेक्ट करते समय, आप शेल कॉन्फ़िगरेशन फ़ाइल को बदल सकते हैं	ssh zuser@xxxx -t "bash --noprofile"
Ssh के माध्यम से कनेक्ट करते समय, आप ShellShock का उपयोग कर सकते हैं	ssh zuser@xxxx -t "() { :; }; /bin/bash"
वाया उपयोगिताओं vi, विम	:!bash
वाया उपयोगिताओं vi, विम	:set shell=/bin/bash :shell
उपयोगिताओं के माध्यम से आदमी, अधिक, कम	!bash
खोज उपयोगिता के माध्यम से	find . -maxdepth 0 -execdir /bin/bash \;
वाया जाग उपयोगिता	awk 'BEGIN {system("/bin/bash")}'
वाया नंप उपयोगिता	nmap --interactive
वाया नंप उपयोगिता	echo "os.execute('/bin/sh')" > exploit.nse nmap --script=exploit.nse
पर्ल के माध्यम से	perl -e 'exec "/bin/bash";'
अजगर	python -c 'import pty; pty.spawn("/bin/bash")'
माया माया	ruby: exec "/bin/bash"
LD_PRELOAD के माध्यम से	Bad.c फ़ाइल बनाएँ: #include <stdio.h> #include <unistd.h> #include <sys/types.h> #include <stdlib.h> void _init() { unsetenv("LD_PRELOAD"); setgid(0); setuid(0); system("echo work"); system("/bin/bash --noprofile"); } हम संकलन करते हैं: gcc -fPIC -shared -o evil.so evil.c -nostartfiles हम परिणामित बुराई को बंद कर देते हैं। कंसोल के साथ मशीन को बंद और चलाने के लिए फ़ाइल: LD_PRELOAD=$PWD/evil.so ls एक तर्क के रूप में, कोई भी उपलब्ध आदेश

पर्याप्त रूप से बड़ी संख्या में कमजोरियों की उपस्थिति के कारण, इस पद्धति का उपयोग केवल गैर-महत्वपूर्ण प्रणालियों पर एक स्थानीय उपयोगकर्ता के लिए किया जा सकता है; ssh के माध्यम से नेटवर्क पर पहुंचने के लिए, उपयोगकर्ता क्षमताओं को सीमित करने के लिए चेरोट या अन्य उपयोगिताओं का उपयोग करना बेहतर होता है।

मुझे उम्मीद है कि यह जानकारी उपयोगी होगी।