Scenarioet er sannsynligvis ikke nytt for deg, om du er kommet så langt som til å lese denne artikkelen. Du har nettopp installert din favoritt-distribusjon av Linux og sitter der med den helt splitter nye kernelen, nye ikoner, nye programmer og lurer veldig; Hva nå?
Begrense tilgang til systeminformasjon
For å bedre kunne sikre en maskin mot å bli kompromitert og skadet i stor grad av uansvarlig bruk fra de man måtte gi tilgang til å logge seg inn på maskinen er det viktig å sikre maskinen mot de enkleste former for misbruk; lokale root-exploit og ymse ondsinnede programsnutter skrevet for å få tak i root-kontoen på maskinen. Dette gjøres enklest ved å begrense hvilken informasjon den innloggede bruker kan aksessere. I første rekke er dette typisk “ufarlig” informasjon, men som likevel kan benyttes til å kartlegge en maskins operativsystem og dermed også svakheter i dette. Ved å være root-brukeren kan man legge til personer i grupper på maskinen. Dette gjøres ved å editere filen /etc/group og legge til en brukers brukernavn etter det siste : -tegnet i filen. Her er et eksempel på en /etc/group-fil og hvordan man kan legge til en bruker i en gruppe:
anders@hurricane:~$ cat /etc/group
root::0:root
bin::1:root,bin,daemon
daemon::2:root,bin,daemon
users::100:
console::101:
(listen er forkortet)
Strukturen på denne filen ligner veldig den tidligere diskuterte strukturen på /etc/passwd og består av flere felter avdelt med : -tegnet. Det første feltet er gruppens navn, så kommer et dobbelt kolon siden det ikke er noen passord-funksjonalitet i denne filen, samt et tall som brukes som gruppe-identifikator og til slutt en liste over de brukerene som er en del av gruppen. For så å legge til en bruker i gruppen users kan man editere filen /etc/group ‘ og legge til brukerens brukernavn etter det siste : -tegnet, slik:
users::100:anders
Brukeren anders er nå en del av gruppen users. Dersom brukeren anders også skal være en del av gruppen console legges dette til på linjen hvor denne gruppen står:
console::101:anders
Dersom flere brukere skal legges til i en gruppe legges disse til ved å avgrense brukerene med ,-tegnet. Her er brukeren truls lagt til i gruppen users:
users::100:anders,truls
Ved å legge til brukere i grupper tilegner vi de tillagte brukerene adgang til å gjøre endringer og lese de filer som den gruppen de blir medlem av har tilgang til å gjøre noe med på systemet. Skriv kommandoen id på shellet ditt for å se hvilke grupper brukeren din er medlem av. Et eksempel på dette er:
anders@hurricane:~$ id
uid=1000(anders) gid=100(users) groups=100(users)
Medlemskapet i gruppen console vises ikke, da brukeren ikke har logget inn på nytt siden medlemskapet ble opprettet. På Unix-lignende operativsystemer tildeles rettigheter ved innlogging og du vil derfor beholde de gamle rettighetene dine fram til du logger inn på nytt. Etter en ny innlogging vises så console-gruppen også:
anders@hurricane:~$ id
uid=1000(anders) gid=100(users) groups=100(users),101(console)
Den spesielle gruppen wheel finnes på de fleste Unix-lignende operativsystemer og er historisk sett brukt til å tilegne brukere spesielle rettigheter på systemet. Ved å melde en bruker inn i wheel-gruppen vil denne brukeren kunne utføre alle kommandoer som er tilegnet wheel-gruppen. Som root kan du utføre en rekke kommandoer vanlige brukere ikke kan utføre, og disse kan deles med flere brukere som ikke får fulle root-rettigheter ved å tilordne disse kommaandoene til å være eid av root:wheel (brukeren root og gruppen wheel). Åpne /etc/group filen i en editor og legg til din egen bruker i wheel-gruppen, logg inn på nytt, bli root på nytt og skriv disse kommandoene for å begrense systemtilgangen til kommandoene ifconfig og netconfig til å kun gjelde for root-brukeren og wheel-gruppen:
chown root:wheel /sbin/ifconfig
chmod 750 /sbin/ifconfig
chown root:wheel /sbin/netconfig
chmod 750 /sbin/netconfig
De fire kommandoene over endrer eier på programfilene /sbin/ifconfig og /sbin/netconfig til å være eid av root-brukeren og wheel-gruppen, samtidig som kommandoen tildeles endrede kjøre-egenskaper. Kommandoen chown brukes til å endre eier (CHange OWNer) og kommandoen chmod (CHange MODe) brukes til å endre filrettigheter på den/de spesifiserte filene. Før du utfører disse kommandoene kan det være lurt å lese manualsidene for chmod og chown-programmene. Disse finner du som oftest ved å skrive man chmod og man chown på shellet ditt.
Denne typen endringer kan gjøres på en rekke deler av et normalt system for å unngå at vanlige brukere på systemet skal få tilgang til viktig informasjon om hvilke prosesser som kjører etc. En spesiell programfil kan det være lurt å endre rettigheter på for å begrense hvem som kan få lov til å utnytte rootbrukeren; kommandoen su . Kommandoen su brukes til å bli SUper User (root) på et Unix-likendne operativsystem og det er derfor viktig å beskytte tilgangen til denne kommandoen på systemer med mer enn en bruker. Dette kan gjøres ved å benytte det vi til nå har lært:
chown root:wheel /bin/su
chmod o-rwx /bin/su
Fra nå av vil kun brukere som er medlem av gruppen wheel kunne benytte kommandoen su . Tenk nøye over hvilke andre filer og programmer på systemet ditt du kan tenke deg på beskytte på denne måten og skriv ned disse på et papir. Se så gjennom disse og se på hvilke endringer disse vil medføre dersom du beskytter dem på denne måten.
Tips: Det er lurt å sjekke hvor vidt en kommando skal og bør være tilgjengelig for alle brukere før du gjør endringer på de tilganger brukerene har til denne. Les mer om kommandoen på manual-siden for kommandoen før du gjør endringer.
For flere gode tips og guider om Linux, gå til The Norwegian Linux Documentation Project.
For Linux-nyheter og mye mer, gå til Linux1.no.
Kilde: Trondheim LUG | TNLDP
Sender din rapport, vennligst vent...