🤖 🎵 🐉 FreeBSD में अधिकार मॉडल का अनिवार्य वितरण 🍫 🚯 🎛️

परिचय

सर्वर सुरक्षा का एक अतिरिक्त स्तर प्रदान करने के लिए, आप अनिवार्य पहुँच वितरण मॉडल का उपयोग कर सकते हैं। यह प्रकाशन वर्णन करेगा कि आप केवल उन घटकों तक पहुंच के साथ जेल में अपाचे कैसे चला सकते हैं जिन्हें अपाचे और पीएचपी के सही संचालन के लिए उपयोग की आवश्यकता होती है। इस सिद्धांत द्वारा, आप न केवल अपाचे, बल्कि किसी अन्य स्टैक को भी सीमित कर सकते हैं।

ट्रेनिंग

यह विधि केवल ufs फ़ाइल सिस्टम के लिए उपयुक्त है, इस उदाहरण में, मुख्य प्रणाली में zfs का उपयोग किया जाएगा, और जेल में ufs क्रमशः। पहला कदम कर्नेल का पुनर्निर्माण करना है; फ्रीबीएसडी स्थापित करते समय, स्रोत कोड स्थापित करें।

सिस्टम स्थापित होने के बाद, फ़ाइल को संपादित करें:

/usr/src/sys/amd64/conf/GENERIC

आपको इस फ़ाइल में केवल एक पंक्ति जोड़ने की आवश्यकता है:

 options MAC_MLS

Mls / उच्च चिह्न mls / कम चिह्न पर हावी होगा, जो अनुप्रयोग mls / low mark के साथ चलते हैं वे उन फ़ाइलों तक नहीं पहुँच पाएंगे जिनके पास mls / उच्च चिह्न है। आप इस गाइड में फ्रीबीएसडी प्रणाली में सभी उपलब्ध लेबल के बारे में अधिक पढ़ सकते हैं।
अगला, / usr / src निर्देशिका पर जाएं:

 cd /usr/src

कर्नेल असेंबली शुरू करने के लिए, (j कुंजी में, प्रोसेसर के लिए कोर की संख्या निर्दिष्ट करें):

 make -j 4 buildkernel KERNCONF=GENERIC

कर्नेल इकट्ठा होने के बाद, इसे स्थापित किया जाना चाहिए:

 make installkernel KERNCONF=GENERIC

कर्नेल को स्थापित करने के बाद, सिस्टम को रिबूट करने में जल्दबाजी न करें, क्योंकि पहले सेट करने के बाद, उपयोगकर्ताओं को लॉगिन वर्ग में स्थानांतरित करना आवश्यक है। फ़ाइल /etc/login.conf संपादित करें, इस फ़ाइल में आपको लॉगिन वर्ग डिफ़ॉल्ट को संपादित करने की आवश्यकता है, इसे फॉर्म में लाएं:

 default:\ :passwd_format=sha512:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K:\ :path=/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin ~/bin:\ :nologin=/var/run/nologin:\ :cputime=unlimited:\ :datasize=unlimited:\ :stacksize=unlimited:\ :memorylocked=64K:\ :memoryuse=unlimited:\ :filesize=unlimited:\ :coredumpsize=unlimited:\ :openfiles=unlimited:\ :maxproc=unlimited:\ :sbsize=unlimited:\ :vmemoryuse=unlimited:\ :swapuse=unlimited:\ :pseudoterminals=unlimited:\ :kqueues=unlimited:\ :umtxp=unlimited:\ :priority=0:\ :ignoretime@:\ :umask=022:\ :label=mls/equal:

पंक्ति: लेबल = mls / बराबर, उन उपयोगकर्ताओं को अनुमति देगा जो इस वर्ग में उन फ़ाइलों तक पहुँचने के लिए हैं जो किसी भी लेबल (mls / low, mls / high) के साथ चिह्नित हैं। इन जोड़तोड़ के बाद, डेटाबेस को फिर से बनाना और रूट उपयोगकर्ता (साथ ही साथ जिन लोगों को इसकी आवश्यकता है) को इस लॉगिन वेबसाइट में रखना आवश्यक है:

 cap_mkdb /etc/login.conf pw usermod root -L default

केवल फ़ाइलों की चिंता करने की नीति के लिए, आपको /etc/mac.conf फ़ाइल को संपादित करने की आवश्यकता है, इसमें केवल एक को छोड़ें:

 default_labels file ?mls

यदि कर्नेल के पुनर्निर्माण की कोई इच्छा नहीं है, तो आप मॉड्यूल का उपयोग कर सकते हैं:

 echo 'mac_mls_load="YES"' >> /boot/loader.conf

उसके बाद, आप सिस्टम को सुरक्षित रूप से रिबूट कर सकते हैं। जेल कैसे बनाई जाए यह मेरे एक प्रकाशन में पाया जा सकता है। लेकिन जेल बनाने से पहले आपको एक हार्ड डिस्क जोड़ने और उस पर एक फ़ाइल सिस्टम बनाने और उस पर मल्टीलेबल को सक्षम करने के लिए, 64kb का क्लस्टर आकार के साथ एक ufs2 फ़ाइल सिस्टम बनाना होगा:

 newfs -O 2 -b 64kb /dev/ada1 tunefs -l enable /dev/ada1

फ़ाइल सिस्टम बनाने और मल्टीलेबल जोड़ने के बाद, आपको हार्ड ड्राइव को / etc / fstab में जोड़ने की जरूरत है, इस फाइल में लाइन जोड़ें:

 /dev/ada1 /jail ufs rw 0 1

माउंटपॉइंट में, वह निर्देशिका निर्दिष्ट करें जिसमें आप हार्ड ड्राइव को माउंट करेंगे, पास में, 1 निर्दिष्ट करना सुनिश्चित करें (दिए गए हार्ड ड्राइव को किस क्रम में चेक किया जाएगा) - यह आवश्यक है, क्योंकि ufs फाइल सिस्टम अचानक पावर आउटेज के प्रति संवेदनशील है। इन चरणों के बाद, डिस्क को माउंट करें:

 mount /dev/ada1 /jail

इस निर्देशिका में जेल स्थापित करें। जेल के काम करने के बाद, इसमें उसी तरह के हेरफेर करना आवश्यक है जैसे कि मुख्य प्रणाली में उपयोगकर्ताओं और फ़ाइलों /etc/login.conf, /etc/mac.conf के साथ।

समायोजन

आवश्यक लेबल सेट करने से पहले, मैं सभी आवश्यक पैकेजों को स्थापित करने की सलाह देता हूं, मेरे मामले में इन पैकेजों को ध्यान में रखते हुए लेबल सेट किए जाएंगे:

 mod_php73-7.3.4_1 PHP Scripting Language php73-7.3.4_1 PHP Scripting Language php73-ctype-7.3.4_1 The ctype shared extension for php php73-curl-7.3.4_1 The curl shared extension for php php73-dom-7.3.4_1 The dom shared extension for php php73-extensions-1.0 "meta-port" to install PHP extensions php73-filter-7.3.4_1 The filter shared extension for php php73-gd-7.3.4_1 The gd shared extension for php php73-gettext-7.3.4_1 The gettext shared extension for php php73-hash-7.3.4_1 The hash shared extension for php php73-iconv-7.3.4_1 The iconv shared extension for php php73-json-7.3.4_1 The json shared extension for php php73-mysqli-7.3.4_1 The mysqli shared extension for php php73-opcache-7.3.4_1 The opcache shared extension for php php73-openssl-7.3.4_1 The openssl shared extension for php php73-pdo-7.3.4_1 The pdo shared extension for php php73-pdo_sqlite-7.3.4_1 The pdo_sqlite shared extension for php php73-phar-7.3.4_1 The phar shared extension for php php73-posix-7.3.4_1 The posix shared extension for php php73-session-7.3.4_1 The session shared extension for php php73-simplexml-7.3.4_1 The simplexml shared extension for php php73-sqlite3-7.3.4_1 The sqlite3 shared extension for php php73-tokenizer-7.3.4_1 The tokenizer shared extension for php php73-xml-7.3.4_1 The xml shared extension for php php73-xmlreader-7.3.4_1 The xmlreader shared extension for php php73-xmlrpc-7.3.4_1 The xmlrpc shared extension for php php73-xmlwriter-7.3.4_1 The xmlwriter shared extension for php php73-xsl-7.3.4_1 The xsl shared extension for php php73-zip-7.3.4_1 The zip shared extension for php php73-zlib-7.3.4_1 The zlib shared extension for php apache24-2.4.39

इस उदाहरण में, लेबल को इन पैकेजों की निर्भरता को ध्यान में रखा जाएगा। बेशक, ऐसा करना आसान है, / usr / स्थानीय / lib फ़ोल्डर के लिए और इस निर्देशिका में मौजूद फ़ाइलों के लिए, mls / कम लेबल और बाद में स्थापित पैकेज (उदाहरण के लिए, php के लिए अतिरिक्त एक्सटेंशन), इस निर्देशिका में पुस्तकालयों तक पहुँचने में सक्षम होंगे, लेकिन यह मुझे बेहतर लगता है केवल उन फ़ाइलों तक पहुँच प्रदान करें जिनकी आवश्यकता है। जेल बंद करो और सभी फाइलों पर mls / उच्च लेबल सेट करें, ऐसा करने के लिए, नाम के साथ एक फ़ाइल बनाएं, उदाहरण के लिए, मैक और इसमें एक पंक्ति जोड़ें:

 touche /mac echo '.* mls/high' > /mac

उसके बाद, कमांड चलाएँ:

 setfsmac -ef /mac /jail/*

लेबल सेट होने के बाद, आपको अपाचे के लिए mls / कम लेबल सेट करने की आवश्यकता है (आपको रनिंग जेल से लेबल सेट करने की आवश्यकता है), सबसे पहले, पता करें कि अपाचे को चलाने के लिए किन फाइलों की आवश्यकता है:

 ldd /usr/local/sbin/httpd

इस कमांड को निष्पादित करने के बाद, स्क्रीन पर निर्भरताएं प्रदर्शित की जाएंगी, लेकिन इन फ़ाइलों पर आवश्यक लेबल लगाना पर्याप्त नहीं होगा, क्योंकि ये फाइलें जिस निर्देशिका में स्थित हैं, उसमें mls / उच्च लेबल हैं, इसलिए आपको इन निर्देशिकाओं के लिए mls / लो लेबल लगाने की आवश्यकता है। जब आप अपाचे शुरू करते हैं, तो इसे चलाने के लिए आवश्यक फाइलें भी दे देंगे, और php के लिए ये निर्भरताएं httpd-error.log लॉग में पाई जा सकती हैं।

 setfmac mls/low / setfmac mls/low /usr/local/lib/libpcre.so.1 setfmac mls/low /usr/local/lib/libaprutil-1.so.0 setfmac mls/low /usr/local/lib/libdb-5.3.so.0 setfmac mls/low /usr/local/lib/libgdbm.so.6 setfmac mls/low /usr/local/lib/libexpat.so.1 setfmac mls/low /usr/local/lib/libapr-1.so.0 setfmac mls/low /lib/libcrypt.so.5 setfmac mls/low /lib/libthr.so.3 setfmac mls/low /lib/libc.so.7 setfmac mls/low /usr/local/lib/libintl.so.8 setfmac mls/low /var setfmac mls/low /var/run setfmac mls/low /var/log setfmac mls/low /var/log/httpd-access.log setfmac mls/low /var/log/httpd-error.log setfmac mls/low /var/run/httpd.pid setfmac mls/low /lib setfmac mls/low /lib/libcrypt.so.5 setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0 setfmac mls/low /usr/local/lib/db5/libdb-5.3.so.0.0.0 setfmac mls/low /usr/local/lib/db5 setfmac mls/low /usr/local/lib setfmac mls/low /libexec setfmac mls/low /libexec/ld-elf.so.1 setfmac mls/low /dev setfmac mls/low /dev/random setfmac mls/low /usr/local/libexec setfmac mls/low /usr/local/libexec/apache24 setfmac mls/low /usr/local/libexec/apache24/* setfmac mls/low /etc/pwd.db setfmac mls/low /etc/passwd setfmac mls/low /etc/group setfmac mls/low /etc/ setfmac mls/low /usr/local/etc setfmac -R mls/low /usr/local/etc/apache24 setfmac mls/low /usr setfmac mls/low /usr/local setfmac mls/low /usr/local/sbin setfmac mls/low /usr/local/sbin/* setfmac -R mls/low /usr/local/etc/rc.d/ setfmac mls/low /usr/local/sbin/htcacheclean setfmac mls/low /var/log/httpd-access.log setfmac mls/low /var/log/httpd-error.log setfmac -R mls/low /usr/local/www setfmac mls/low /usr/lib setfmac mls/low /tmp setfmac -R mls/low /usr/local/lib/php setfmac -R mls/low /usr/local/etc/php setfmac mls/low /usr/local/etc/php.conf setfmac mls/low /lib/libelf.so.2 setfmac mls/low /lib/libm.so.5 setfmac mls/low /usr/local/lib/libxml2.so.2 setfmac mls/low /lib/libz.so.6 setfmac mls/low /usr/lib/liblzma.so.5 setfmac mls/low /usr/local/lib/libiconv.so.2 setfmac mls/low /usr/lib/librt.so.1 setfmac mls/low /lib/libthr.so.3 setfmac mls/low /usr/local/lib/libpng16.so.16 setfmac mls/low /usr/lib/libbz2.so.4 setfmac mls/low /usr/local/lib/libargon2.so.0 setfmac mls/low /usr/local/lib/libpcre2-8.so.0 setfmac mls/low /usr/local/lib/libsqlite3.so.0 setfmac mls/low /usr/local/lib/libgd.so.6 setfmac mls/low /usr/local/lib/libjpeg.so.8 setfmac mls/low /usr/local/lib/libfreetype.so setfmac mls/low /usr/local/lib/libfontconfig.so.1 setfmac mls/low /usr/local/lib/libtiff.so.5 setfmac mls/low /usr/local/lib/libwebp.so.7 setfmac mls/low /usr/local/lib/libjbig.so.2 setfmac mls/low /usr/lib/libssl.so.8 setfmac mls/low /lib/libcrypto.so.8 setfmac mls/low /usr/local/lib/libzip.so.5 setfmac mls/low /etc/resolv.conf

इस सूची में, उन सभी फाइलों के लिए mls / लो लेबल सेट किए गए हैं जो एपाचे और php बंडल के लिए सही तरीके से काम करने के लिए आवश्यक हैं (उन पैकेजों के लिए जो मेरे उदाहरण में स्थापित हैं)।

अंतिम स्पर्श जेल को mls / बराबर स्तर पर चलाने के लिए कॉन्फ़िगर करना होगा, और mls / निम्न स्तर पर अपाचे। जेल चलाने के लिए, आपको /etc/rc.d/jail स्क्रिप्ट में परिवर्तन करने की आवश्यकता है, इस स्क्रिप्ट में जेल_स्टार्ट फ़ंक्शन खोजें और कमांड वेरिएबल को निम्न में लाएँ:

 command="setpmac mls/equal $jail_program"

Setpmac कमांड निष्पादन योग्य को आवश्यक क्रेडेंशियल स्तर पर चलाता है, इस मामले में सभी लेबल तक पहुँच प्राप्त करने के लिए mls / बराबर है। अपाचे में, आपको प्रारंभ स्क्रिप्ट /usr/local/etc/rc.d/apache24 को संपादित करने की आवश्यकता है। Apache24_prestart फ़ंक्शन में परिवर्तन करें:

 apache24_prestart() { apache24_checkfib apache24_precmd eval "setpmac mls/low" ${command} ${apache24_flags} }

आधिकारिक मैनुअल में, एक और उदाहरण इंगित किया गया है, लेकिन मैं इसका उपयोग करने में सक्षम नहीं था, क्योंकि मुझे लगातार setpmac कमांड का उपयोग करने में असमर्थता के बारे में एक संदेश मिला था।

निष्कर्ष

एक्सेस डिस्ट्रीब्यूशन का यह तरीका अतिरिक्त सुरक्षा अपाचे सुरक्षा को जोड़ देगा (हालांकि यह विधि किसी अन्य स्टैक के लिए उपयुक्त है), जो, इसके अलावा, जेल में चलता है, जबकि प्रशासक के लिए, यह सब पारदर्शी रूप से और ध्यान देने योग्य नहीं होगा।

उन स्रोतों की सूची जिन्होंने मुझे यह प्रकाशन लिखने में मदद की:

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

FreeBSD में अधिकार मॉडल का अनिवार्य वितरण

परिचय

ट्रेनिंग

समायोजन

निष्कर्ष

More articles: