몇 사람, 예를 들어 오래된 학교 셸 서버를 실행하고 싶습니다. 사용자가 ssh 액세스 권한을 얻어 소프트웨어 (자신의 또는 제공된)를 실행할 수있는 곳. 내 관심사는 사용자를 적절히 분리하는 것입니다.

나는 그들이 서로의 프로세스를 보거나, 서로의 파일에 액세스하는 것을 원하지 않습니다 (명시 적으로 허용되지 않는 한). 이러한 보안 조치를 취한 상태에서 일반적인 서비스 (웹 및 메일 호스팅 등)를 실행하는 옵션을 유지하는 것이 좋습니다.

당시에는 grsec을 사용했지만 이전 커널을 유지하고 직접 컴파일해야하는 번거 로움이 필요합니다. 공유 서버에서 사용자 분리를 보장하는 더 현대적이고 더 많은 우분투 방법이 있습니까?

아마도 당신은 그 효과에 AppArmor로 무언가를 할 수 있습니까? 또는 공유 환경에 맞게 사전 구성된 커널 저장소가 있습니까? 아니면 컨테이너를 기반으로 한 솔루션입니까? 이들은 최근 유행했다.

hidepid

procfsLinux에서 이제 hidepid옵션을 지원합니다 . 보낸 사람 man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

따라서 Linux를 탑재 /proc하면 hidepid=2다른 사용자 프로세스의 세부 정보를 Linux> 3.3에서 숨길 수 있습니다. Ubuntu 12.04는 기본적으로 3.2와 함께 제공되지만 최신 커널을 설치할 수 있습니다. Ubuntu 14.04 이상은이 요구 사항과 쉽게 일치합니다.

ACL

첫 번째 단계로 제거 rwx 모든 홈 디렉토리 (필요한 경우 그룹도)에서 다른 사용자의 권한을 . 물론 홈 디렉토리를 포함하는 폴더에는 루트 이외의 다른 사람에게 쓰기 권한이 없다고 가정합니다.

그런 다음 ACL을 사용하여 웹 서버 및 메일 서버와 같은 서비스에 적절한 디렉토리에 대한 액세스 권한을 부여하십시오. 예를 들어, 가정 사용자 홈 페이지에 웹 서버 프로세스에 대한 액세스 권한을 부여하는 www-data사용자이고 ~/public_html홈 페이지가 유지되는 경우입니다 :

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

마찬가지로 메일 프로세스 및 메일 함 디렉토리에 대한 ACL을 추가하십시오.

ACL은 기본적으로 ext4에서 최소한 우분투 14.04 이상에서 활성화되어 있습니다.

/tmp 과 umask

또 다른 문제는 /tmp입니다. 설정 umask파일이 사용자의 임시 파일은 다른 사용자가 액세스 할 수없는 그래서,하지 기능은 그룹 또는 세계 읽을 수 있도록.

이 세 가지 설정을 통해 사용자는 다른 사용자의 파일에 액세스하거나 프로세스를 검사 할 수 없습니다.