一个.从机器a通过nfs chroot机器b上的用户(如果没有安装比我更舒服的目录,这似乎不可能)
要么 – – – –
湾将用户添加到计算机a上的ldap数据库之后,强制在用户登录期间在计算机b上执行脚本,该用户将在首次登录之前允许用户执行任何操作之前自动chroot用户.
我认为我的第二个选项可能是最好的选择,并且正在考虑使用pam_exec.so来调用脚本.但是,我对这种方法有一些担忧.首先,我不确定将要运行的脚本是否具有执行chroot所需的root权限.其次,我不确定pam_exec在登录过程中是否足够早发生是一个有效的选择.最后,我需要确保代码在pam.d / ssh和pam.d / su中都能正常工作,以将其视为有效的解决方案.
解决方法
chroot
might not be considered a security feature.有
opinions in the other direction,as well.
可以说,您需要实现的是一种可重现的,可审计的方法,用于限制用户执行除严格允许的操作之外的操作的能力.
如果您在LDAP中注册用户,您肯定已经部署了在连接到此LDAP的任何计算机上执行LDAP身份验证的机制,无论是通过sssd还是使用任何其他PAM模块,它与解决方案的其余部分无关,并假设已经到位(在我的情况下,我使用freeIPA和sssd).
为了实现这种情况,我目前做的是以下内容(请注意,这种限制要求满足几个条件,否则可以轻松规避限制):
>用户不属于wheel组,唯一授权使用su(通过PAM强制执行).通常,存在非LDAP用户(sysadm),以允许受信任的管理员在灾难恢复或LDAP不可用时执行操作.
>为用户提供一个正确安全的rbash,其中只有一个指向私有〜/ bin的PATH,这个〜/ bin /目录包含指向所有允许命令的链接,例如:
$ll ~/bin total 0 lrwxrwxrwx. 1 root dawud 14 Sep 17 08:58 clear -> /usr/bin/clear* lrwxrwxrwx. 1 root dawud 7 Sep 17 08:58 df -> /bin/df* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 egrep -> /bin/egreP* lrwxrwxrwx. 1 root dawud 8 Sep 17 08:58 env -> /bin/env* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 fgrep -> /bin/fgreP* lrwxrwxrwx. 1 root dawud 9 Sep 17 08:58 grep -> /bin/greP* lrwxrwxrwx. 1 root dawud 10 Sep 17 08:58 rview -> /bin/rview* lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 rvim -> /usr/bin/rvim* lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 sudo -> /usr/bin/sudo* lrwxrwxrwx. 1 root dawud 17 Sep 17 08:58 sudoedit -> /usr/bin/sudoedit* lrwxrwxrwx. 1 root dawud 13 Sep 17 08:58 tail -> /usr/bin/tail* lrwxrwxrwx. 1 root dawud 11 Sep 17 08:58 wc -> /usr/bin/wc*
>为用户提供受限制的只读环境(考虑LESSSECURE,TMOUT,HISTFILE等变量).这是为了避免shell从less或vim等命令中逃脱.
>如果MAC限制到位(您使用的特定GNU / Linux发行版已启用SELinux),则用户将映射到SELinux用户staff_u,并有权通过sudo按需要执行其他用户的命令.需要仔细检查允许的特定漏洞以防止用户绕过这些限制,并且还可以在现有LDAP基础结构中部署(这是freeIPA功能之一).
>用户’/ home,/ tmp和/ var / tmp通过/etc/security/namespace.conf进行多实例化:
/tmp /tmp/.inst/tmp.inst-$USER- tmpdir:create root /var/tmp /tmp/.inst/var-tmp.inst-$USER- tmpdir:create root $HOME $HOME/$USER.inst/ tmpdir:create root
目录的多实例化并不是一项新功能,现在已经有很长时间了.作为参考,请参见this article from 2006.事实上,许多模块默认使用pam_namespace,但/etc/security/namespace.conf中的默认配置不启用多实例化.
此外,/ etc / security / namedspace.init应使所有骨架文件对用户只读,并由root拥有.
通过这种方式,您可以选择是否代表其他用户(通过sudo)代表自己(通过private / / bin目录中的链接,通过/ etc / skel提供,如上所述)代表自己执行任何命令(或通过/ etc / skel提供)一个都没有.