Как не дать пользователю запускать свои программы?

У меня в RHEL 6

А есть какие-то причины использовать именно это? Просто интересно.

Как монтировать внешние носители с noexec по умолчанию?

Правила udev и fstab.

А вообще, ты уверен, что это нужно? Может быть стоит разрешить пользователям делать то, что они хотят?

В идеале хотелось бы задать в ОС список разрешённых для пользователя программ (иксы, офис, браузер, м.б. что-то ещё), а всё остальное запретить по умолчанию. Возможно ли это?

да, но с какой целью?

А есть какие-то причины использовать именно это? Просто интересно

Таково требование заказчика.

А вообще, ты уверен, что это нужно? Может быть стоит разрешить пользователям делать то, что они хотят?

Дело в том, что это и требуется реализовать, запускать только то, что не запрещено запускать.

да, но с какой целью?

Это повышенные требования к безопасности: нужно запретить создание и запуск исполняемых файлов. Нельзя компилировать из исходников, нельзя писать скрипты, нельзя использовать интерпретаторы и многое другое.

Идеальный вариант - это задать список бинарников, которые конкретный пользователь может запускать. То есть что-то вроде мандатной надстройки над дискретным разграничением доступа к бинарникам.

на самом деле в centos/rhel есть волшебный boolean selinux параметр который называется (трам-та-ра-рам) «allow_user_exec_content». я его не пробовал никогда но что то подсказывает мне что это то что тебе нужно

попробуй

# setsebool -P allow_user_exec_content off

ты так и не ответил на вопрос «зачем?». Можешь продолжать дальше фантазировать...

угу, нашёл

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6...

ещё есть allow_guest_exec_content, allow_xguest_exec_content, allow_staff_exec_content (ну и allow_user_exec_content)

описывается так:

Not allowing Linux users to execute applications (which inherit users' permissions) in their home directories and /tmp/, which they have write access to, helps prevent flawed or malicious applications from modifying files that users own. In Red Hat Enterprise Linux 6, by default, Linux users in the guest_t and xguest_t domains cannot execute applications in their home directories or /tmp/; however, by default, Linux users in the user_t and staff_t domains can.

Т.е. как раз то что тебе нужно (заодно и tmp/shm и прочие радости закроет, а то ты домашнюю подмонтируешь c noexec, а про что нибудь из /tmp, /var/tmp, /dev/shm забудешь как пить дать)

Ну и обрати внимание что по умолчанию guest_t и xguest_t не могут запускать , т.е. можно пользователю назначить роль xguest_u.

По умолчанию роли не назначаются вроде, если я ничего не путаю, поэтому когда создаёшь пользователя надо делать так

# useradd -Z xguest_u -U -m uname

ну или вот так можно если уже создал

# semanage login -a -s xguest_u created_user_name

если то что я сказал совсем не понятно (если новичёк, прости не знаю твоей квалификации), сделай так

# semanage login -a -s user_u username
# setsebool -P allow_user_exec_content off

где username имя пользователя которому хочешь запретить

Идеальный вариант - это задать список бинарников, которые конкретный пользователь может запускать. То есть что-то вроде мандатной надстройки над дискретным разграничением доступа к бинарникам.

Это возможно но надо писать правила для selinux самому.

он же сказал - требование заказчика. по поводу возможного обоснования, думаю 99% что это банально - чем меньше пользователь может делать, тем меньше угроз безопасности. Поэтому нужно позволить пользователям только то что нужно по работе.

ты так и не ответил на вопрос «зачем?». Можешь продолжать дальше фантазировать...

Я не хочу вступать в философскую дискуссию, сошлюсь просто на требования регуляторов, действующих в РФ. Там много чего написано по контролю доступа.

нельзя использовать интерпретаторы и многое другое.

кстати с этим могут быть проблемы ибо /usr/bin/perl my_perl_file.pl да и всё, это ведь не считается вроде как исполнением контента. хотя надо конечно проверить.

Огромное спасибо, буду изучать

В идеале хотелось бы задать в ОС список разрешённых для пользователя программ (иксы, офис, браузер, м.б. что-то ещё), а всё остальное запретить по умолчанию.

Не забудь как минимум браузер в песочнице держать, если не собираешься точно так же жабкоскрипт огораживать.

пжл, кстати все доступные булевские переключатели можно поглядеть так

sudo semanage boolean -l

вообще минимум описан там по ссылке если с начала читать (зависит от наличия времени, конечно).

Это возможно но надо писать правила для selinux самому.

То есть в принципе я могу настроить SELinux так, что SELinux пользователь user_u будет запускать только то, что надо? Я примерно так и подозревал.

нельзя использовать интерпретаторы и многое другое.

кстати с этим могут быть проблемы ибо /usr/bin/perl my_perl_file.pl да и всё, это ведь не считается вроде как исполнением контента. хотя надо конечно проверить

Ну использование интерпретаторов я рассчитывал убрать дискреткой... Хотя интересно, не сломается ли что-нибудь в системе, если сделать права доступа на /usr/bin/perl 0700.

Да, на сколько я понимаю впринципе это возможно. единственное, как я вижу - это нудно, потому что там надо прописывать целую кучу всего что можно запускать (от банального /bin/bash до библиотек в стандартных каталогах, в этом смысле много писать).

Ещё раз благодарю. Уровень квалификации в SELinux - нуб...

да, действительно, интерпретаторы можно дискреткой. но лучше 750 чем 700, от 700 наверняка сломается какой нибудь лог ротейт или что нибудь из /etc/init.d/*

По своему опыту могу сказать что от 750 на веб-сервере ничего не ломается (по крайней мере я за пару лет не заметил).

Спасибо, это ценное замечание.

на самом деле конечно в линукс потенциально опасно многое, например, я где-то встречал тетрис написанный на sed. поэтому нарвеное едиснтвенный способ эффективно ограничить это действительно прописывать только то что можно и наверное баш как то настроить чтобы потенциально опасных действий сделать было нельзя (я правда не знаю что там можно, но это ведь язык программирования, наверняка возможности довольно широки).

у меня почти такой же на самом деле, немного подразобрался, а дальше времени нет, хотя пара задач насущных есть ..

но вообще конечно если ограничить немножко параною, то запрещение интерпретаторов и бинарников выглядит вполне пристойно...

Я не хочу вступать в философскую дискуссию, сошлюсь просто на требования регуляторов, действующих в РФ. Там много чего написано по контролю доступа.

тогда ставь МСВС, РОСА, и прочее такое, что сертификат имеет. Там эта ерунда искароппки, и бумажка есть. РОСА11 4 тыщи рублей стоит. ИМХО недорого. А без бумажки твои самопальные костыли == говно.

Хотя интересно, не сломается ли что-нибудь в системе, если сделать права доступа на /usr/bin/perl 0700.

сломается.

По своему опыту могу сказать что от 750 на веб-сервере ничего не ломается (по крайней мере я за пару лет не заметил).

смотря кто хозяин группы. Если root, то сломается.

наверное баш как то настроить чтобы потенциально опасных действий сделать было нельзя (я правда не знаю что там можно, но это ведь язык программирования, наверняка возможности довольно широки).

там можно ВСЁ. Как и чуть более чем во всех программах. Т.ч. вы не в том направлении копаете, надо данные защищать, а не инструменты прятать.

В правильном направлении мыслишь. Бумажки этой ерундой надо добиться.

на php-веб сервере ничего не ломается, но гипотетически если что-то использует перл и запускается не из под рута, то конечно должно.

Бумажки этой ерундой надо добиться.

тогда ты не на тот форум пишешь.

С инструментами проблема в том что они значительно расширают возможности по взлому системы. Особенно запуск левых бинарников. А на взломаной системе никакие данные утаить нельзя впринципе.

на php-веб сервере ничего не ломается, но гипотетически если что-то использует перл и запускается не из под рута, то конечно должно.

ВСЁ должно запускаться НЕ из под рута. А перловка часто бывает.

ну инит-скрипты например (где часто используются всякие перлы) запускаются от рута, а самим демонам перл обычно нафиг не сдался. но в целом согласен.

А на взломаной системе никакие данные утаить нельзя впринципе.

надо не допускать того, что-бы юзер мог изменять бинарники в системе. А читать/исполнять — не страшно.

надо не допускать того, что-бы юзер мог изменять бинарники в системе

Это понятно, но это только один из пунктов. Что, если он выполнит компиляцию эксплойта и затем исполнит его.

ну здрасьте

1) а если он загрузит себе в хомяк левый бинарник и запустит? (или загрузит исходник, скомпиляет в /tmp и запустит). Ведь это основной вопрос ТСа, остальные походу идут

2) дополнительный вопрос на поразмыслить - а не дают ли некоторые из инструметнов лишних точек входа для атаки? особенно те что имеют s-бит. или вы на 100% уверены что вашей системе все программы без багов?

вот исходя (по крайней мере) из этих двух пунктов и ограничивают пользователей если хотят систему сохранить.

а если он загрузит себе в хомяк левый бинарник и запустит?

ну и что?

дополнительный вопрос на поразмыслить - а не дают ли некоторые из инструметнов лишних точек входа для атаки? особенно те что имеют s-бит. или вы на 100% уверены что вашей системе все программы без багов?

в моей системе очень мало таких файлов, и они очень простые. Вряд-ли злоумышленник будет атаковать меня через эти файлы…

вот исходя (по крайней мере) из этих двух пунктов и ограничивают пользователей если хотят систему сохранить.

я вижу тут только один пункт. Второй не имеет смысла — как вы предлагаете менять юзера после запрещения sudo/su?

ну и что?

а то что этот бинарник может быть эксплойтом.

в моей системе очень мало таких файлов, и они очень простые. Вряд-ли злоумышленник будет атаковать меня через эти файлы…

[admin@myhost ~]$ sudo find / -perm /u=s -exec ls -lh {} \;
-rwsr-xr-x. 1 root root 35K Ноя 22 08:36 /bin/su
-rwsr-xr-x. 1 root root 36K Сен 26 07:35 /bin/ping6
-rwsr-xr-x. 1 root root 76K Ноя 22 08:29 /bin/mount
-rwsr-xr-x. 1 root root 40K Сен 26 07:35 /bin/ping
-rwsr-xr-x. 1 root root 53K Ноя 22 08:29 /bin/umount
-rwsr-xr-x. 1 root root 11K Ноя 22 07:06 /sbin/pam_timestamp_check
-rwsr-xr-x. 1 root root 35K Ноя 22 07:06 /sbin/unix_chkpwd
-rwsr-x---. 1 root dbus 46K Сен 13 2012 /lib64/dbus-1/dbus-daemon-launch-helper
---s--x--x. 1 root root 121K Ноя 22 05:51 /usr/bin/sudo
-rwsr-xr-x. 1 root root 18K Сен 19 11:40 /usr/bin/pkexec
-rwsr-xr-x. 1 root root 70K Дек 7 2011 /usr/bin/gpasswd
-rwsr-xr-x. 1 root root 65K Дек 7 2011 /usr/bin/chage
-rwsr-xr-x. 1 root root 51K Ноя 23 05:43 /usr/bin/crontab
-rws--x--x. 1 root root 20K Ноя 22 08:29 /usr/bin/chfn
-rws--x--x. 1 root root 20K Ноя 22 08:29 /usr/bin/chsh
-rwsr-xr-x. 1 root root 31K Фев 22 2012 /usr/bin/passwd
-rwsr-xr-x. 1 root root 36K Дек 7 2011 /usr/bin/newgrp
-rwsr-xr-x. 1 root root 232K Ноя 22 15:40 /usr/libexec/openssh/ssh-keysign
-rws--x--x. 1 root root 14K Ноя 21 14:38 /usr/libexec/pt_chown
-rws--x--x. 1 vcsa root 7,2K Авг 22 2010 /usr/libexec/mc/cons.saver
-rwsr-xr-x. 1 root root 11K Сен 19 11:40 /usr/libexec/polkit-1/polkit-agent-helper-1
-r-s--x---. 1 root apache 14K Авг 13 2013 /usr/sbin/suexec
-rwsr-xr-x. 1 root root 8,8K Ноя 22 14:20 /usr/sbin/usernetctl

Не так уж и много, но они не такие уж и маленькие. Если вы уверены, это ваше дело, я не настаиваю. Но вот почему то считается что вероятность существует. И она будет тем меньше, чем меньше пользователи будут иметь доступ. В тех системах где стоит вопрос защиты данных ребром, это аргумент.

Второй не имеет смысла — как вы предлагаете менять юзера после запрещения sudo/su?

если кому-то из пользователей нужно менять пользователя (это правда что ли? не разрабам на тестовых машинах а обычным пользователям есть необходимость менять юзера? ), то нужно разрешить sudo/su для этих конкретных пользователей. а ещё лучше разрешить только команды которые они должны исполнять от имени другого пользователя, благо sudo позволяет.

я вижу тут только один пункт.

ну я рад что у нас хотя бы тут разногласия сгладились.

Не так уж и много

у меня меньше.

а то что этот бинарник может быть эксплойтом.

а я систему обновляю.

Если вы уверены, это ваше дело, я не настаиваю.

какой-нить FireFox всегда может форкнуться, и запустить ЧТО УГОДНО. А FireFox это вам не su, там дыры раз в неделю находят, исправляют, и попутно делают новые. А если юзеру закрыть ФФ, то он откажется работать. Или ваше поставит хромого с быдлофлешем и вендой.

Т.ч. ваша возня с бинарниками не имеет никакого смысла — врагу вовсе не обязательно заставлять юзера в консоли делать chmod +x, у него есть РЕШЕТО в виде браузера и прочего ПО. Колторое УЖЕ работает, нравится вам это, или нет.

И она будет тем меньше, чем меньше пользователи будут иметь доступ. В тех системах где стоит вопрос защиты данных ребром, это аргумент.

это всё иллюзия безопасности.

если кому-то из пользователей нужно менять пользователя (это правда что ли? не разрабам на тестовых машинах а обычным пользователям есть необходимость менять юзера?)

пользователя вовсее не обязательно менять на рута. А если юзер хочет кошечек/ЛОР посмотреть? Вполне понятно его желание запустить браузер так, что-бы этот браузер в принципе НЕ имел доступ к служебным документам, счетам и прочему.

а про 0-day слышал когда нибудь? так даже и 0-day не нужен, апдейти то не в тот же день выходят.

какой-нить FireFox всегда может форкнуться, и запустить ЧТО УГОДНО. А FireFox это вам не su, там дыры раз в неделю находят, исправляют, и попутно делают новые. А если юзеру закрыть ФФ, то он откажется работать. Или ваше поставит хромого с быдлофлешем и вендой.

1) у файрфокс нет суид бита
2) то что там багов много я согласен, но лучше меньше чем больше (в смысле от того что их в фоксе много, в других приложениях их не меньше, а наблюдать за ограниченным небольшим числом приложений проще чем за большим и тем более проще чем за неограниченным).
3) песочница для файрфокса

это всё иллюзия безопасности.

Это не иллюзия, это вероятность. И стоимость атаки. Если стоимость атаки будет слишком высокой, никто не позарится на твои документы потому что полученный документы не окупят затраты на атаку.

Вот например: ты обычный юзер, но хитрожопый. Ты хочешь украсть документы у другого юзера за которые ты получишь 10к если выкрадешь и никто ничего не узнает. Положим у тебя есть эксплойт повышающий привелегии, если его запустить.

теперь два варианта
1) ты можешь его скачать из инета (или принести на флешке) и просто запустить из хомяка
2) надо найти уязвимость в по (например, в фф) чтобы запустить твой эксплойт.

положим ты нашёл на рынке 0-day уязвимость в фф за 15к. Ну и будешь ты её покупать или нет?

Безопасность достигается проведением мероприятий и она _всегда_ имеет вероятностную природу. И _всегда_ стоит вопрос цены. А то что тебе кажется что это не так, это именно что иллюзия.

а про 0-day слышал когда нибудь? так даже и 0-day не нужен, апдейти то не в тот же день выходят.

а эксплойты конечно заранее раздают, да.

1) у файрфокс нет суид бита

ну и хорошо. За то у него есть права на ВСЕ юзерские документы, и он может с ними делать ВСЁ. Зачем ему suid?

2) то что там багов много я согласен, но лучше меньше чем больше (в смысле от того что их в фоксе много, в других приложениях их не меньше, а наблюдать за ограниченным небольшим числом приложений проще чем за большим и тем более проще чем за неограниченным).

ну ты сравни размер su и firefox. Сколько последний весит? Метров 30, да? Я два года назад смотрел, там более 50 ТЫСЯЧ файлов в исходниках. Да мне 10и жизней не хватит, что-бы тупо пролистать их все. А есть ещё и скажем Xorg и куча всего интересного, которое ты при всём желании не запретишь. Сейчас вот ещё и systemd запилят. Всякие PAM'ы уже запилили.

3) песочница для файрфокса

а для Xorg'а? А для Dolphin'а? А для остальных Over9000 программ? А с документами юзер чем работать-то будет, ты подумал? А как запускать песочницу(sudo ты же запретил, да?)

Ну и разрешите sudo (причём только для этой команды), я не понимаю в чём проблема? По моему тут недопонимание некоторе: я не предлагаю не использовать инструменты, я предлагаю ограничить круг запускаемых теми инструментами которые пользователю нужны. Если sudo нужно (кстати, из любопыства, вы правда его так используете? большинство пользует банальный приватный режим я думаю) - ок, пропишите правила и вперёд.

суть в том что ограниченный малый круг приложений лучше чем большой и тем более неограниченный. вот и всё.

ну и хорошо. За то у него есть права на ВСЕ юзерские документы, и он может с ними делать ВСЁ. Зачем ему suid?

У пользователя и так есть права на свои документы. Мы рассматриваем в том числе вариант когда потенциальный злоумышленник - пользователь. И угроза создаётся не только документам конкретного пользователя но и всей системе.

ну ты сравни размер su и firefox.

зачем?

А как запускать песочницу(sudo ты же запретил, да?)

Короче я отказываюсь обсуждать в таком ключе, это уже тупняк неприкрытый пошёл. Единственное что хочу повторить - если судо было нужно, я бы его не запрещал.

Оревуар, мой друг.

Это не иллюзия, это вероятность. И стоимость атаки. Если стоимость атаки будет слишком высокой, никто не позарится на твои документы потому что полученный документы не окупят затраты на атаку.

не капитанствуй. Если ты запретил юзеру запускать свои юзерские хэлловорлды — это иллюзия безопасности, т.к. вектор атаки идёт на приложения по типу браузера, которые ты всё равно не запретишь.

Вот например: ты обычный юзер, но хитрожопый.

если я локальный юзер, то срал я на все твои защиты. И мой slax тоже срал.

Положим у тебя есть эксплойт повышающий привелегии, если его запустить. теперь два варианта 1) ты можешь его скачать из инета (или принести на флешке) и просто запустить из хомяка 2) надо найти уязвимость в по (например, в фф) чтобы запустить твой эксплойт. положим ты нашёл на рынке 0-day уязвимость в фф за 15к. Ну и будешь ты её покупать или нет?

бред ты говоришь: как так получилось, что эксплойт мне достался бесплатно, а за дыру в браузере надо платить 15к? IRL всё как раз наоборот — дыра в браузере стоит копейки, а вот дыра в какой-нить sudo может сделать тебя миллионером(или ЗК). Ибо дырой в sudo ты можешь проникнуть на Over9000 серверов, а дыркой в браузере… Даже мой локалхост не сломаешь, разве что мой пароль выложишь ☺

если я локальный юзер, то срал я на все твои защиты. И мой slax тоже срал.

ты дурачёк. пароль на биос, пломбы на системник + строчка в трудовом договоре = ты будешь в суде рассказыавть про свой slax. всё, больше время на тебя не трачу, пока.

По моему тут недопонимание некоторе: я не предлагаю не использовать инструменты, я предлагаю ограничить круг запускаемых теми инструментами которые пользователю нужны.

а я не вижу в этом смысла. Причём никакого.

кстати, из любопыства, вы правда его так используете?

да, правда.

суть в том что ограниченный малый круг приложений лучше чем большой и тем более неограниченный. вот и всё.

проблема в том, что код злоумышленника, запущенный через дыру в ФФ ну НИКАК не отличается от кода самого ФФ. Т.е. если юзер имеет доступ к документу, то имеет и браузер, и всё дерьмо, что этот браузер перемалывает. Мало того, юзер может случайно нажать не на ту ссылку, зайти не на тот сайт. Но вряд-ли юзер станет СЛУЧАЙНО качать какую-то HEX, ЛИЧНО давать ей право выполнится, и её запускать. А если будет, то тут никакие права уже не помогут, надо устранять самого юзера-врага.

Потому и говорю, что надо начать с документов, лепить к ним бирки, и желательно так, что-бы юзер не мог их перевесить(man SELinux), ну или хотя-бы что-бы мог, но только явно и самостоятельно (обычные права доступа *nix).

А программы… Не вижу смысла.

Кстати да, даже если добавить в параметры монтирования по умолчанию noexec, на FAT32 почему-то не работает :-(

ты дурачёк. пароль на биос, пломбы на системник + строчка в трудовом договоре = ты будешь в суде рассказыавть про свой slax. всё, больше время на тебя не трачу, пока.

ясно. А что нервный-то такой? Покупать за 15к уязвимости на чёрном рынке мне трудовой договор почему-то не мешает, а вот как slax запустить — так ты сразу про договор вспомнил…

У пользователя и так есть права на свои документы. Мы рассматриваем в том числе вариант когда потенциальный злоумышленник - пользователь. И угроза создаётся не только документам конкретного пользователя но и всей системе.

что же на этой чужой(принадлежащей юзеру-врагу) системе такого секретного? И зачем ты ЭТО там хранишь в открытом виде? Я теряюсь в догадках…