Я хочу запустити старий сервер шкільної оболонки для пари людей, тобто. той, де користувачі отримують доступ до ssh, щоб вони могли запускати програмне забезпечення (власне чи надане). Моє занепокоєння - це відповідний поділ між користувачами.

Я не хочу, щоб вони переглядали процеси один одного, отримували доступ до файлів один одного (якщо явно це не дозволено) тощо. Було б непогано не покусати кожну помилку ескалації привілеїв або перезапустити сервер із кожним незначним оновленням ядра. Було б ідеально зберегти можливість запуску загальних служб (наприклад, веб-хостингу та пошти), якщо ці заходи безпеки існують.

Ще в той день я використовував grsec, але це вимагає перебування на більш старому ядрі та вирішення проблем із складанням його самостійно. Чи існує більш сучасний і більш Ubuntu спосіб забезпечення розділення користувачів на спільному сервері?

Можливо, ви можете зробити щось з AppArmor для цього? Або, можливо, є сховище ядер, попередньо налаштоване для спільних середовищ? Або розчин на основі контейнерів? Останнім часом вони стали модними.

hidepid

procfsв Linux тепер підтримує цю hidepidопцію. Від man 5 proc:

hidepid=n (since Linux 3.3)
      This   option   controls  who  can  access  the  information  in
      /proc/[pid]  directories.   The  argument,  n,  is  one  of  the
      following values:

      0   Everybody  may  access all /proc/[pid] directories.  This is
          the traditional behavior, and  the  default  if  this  mount
          option is not specified.

      1   Users  may  not  access  files and subdirectories inside any
          /proc/[pid]  directories  but  their  own  (the  /proc/[pid]
          directories  themselves  remain  visible).   Sensitive files
          such as /proc/[pid]/cmdline and /proc/[pid]/status  are  now
          protected  against other users.  This makes it impossible to
          learn whether any user is running  a  specific  program  (so
          long  as  the program doesn't otherwise reveal itself by its
          behavior).

      2   As for mode 1, but in addition the  /proc/[pid]  directories
          belonging  to other users become invisible.  This means that
          /proc/[pid] entries can no longer be used  to  discover  the
          PIDs  on  the  system.   This  doesn't  hide the fact that a
          process with a specific PID value exists (it can be  learned
          by  other  means,  for  example,  by "kill -0 $PID"), but it
          hides a process's UID and  GID,  which  could  otherwise  be
          learned  by  employing  stat(2)  on a /proc/[pid] directory.
          This greatly complicates an  attacker's  task  of  gathering
          information   about  running  processes  (e.g.,  discovering
          whether some daemon is  running  with  elevated  privileges,
          whether  another  user  is  running  some sensitive program,
          whether other users are running any program at all,  and  so
          on).

gid=gid (since Linux 3.3)
      Specifies  the  ID  of  a  group whose members are authorized to
      learn  process  information  otherwise  prohibited  by   hidepid
      (ie/e/,  users  in this group behave as though /proc was mounted
      with hidepid=0.  This group should be used instead of approaches
      such as putting nonroot users into the sudoers(5) file.

Отже, монтажу /procз допомогою hidepid=2достатньо, щоб приховати деталі процесів інших користувачів в Linux> 3.3. Ubuntu 12.04 поставляється за замовчуванням 3.2, але ви можете встановити новіші ядра. Ubuntu 14.04 і вище легко відповідають цій вимозі.

ACL

Першим кроком видаліть rwxдозволи з інших користувачів з домашнього каталогу (і для групи, якщо цього потрібно). Я, звичайно, припускаю, що папки, що містять домашні каталоги, не мають дозволу на запис нікому, крім root.

Потім надайте такі сервіси, як веб-сервер та поштовий сервер, доступ до відповідних каталогів за допомогою ACL. Наприклад, надати процесу доступу веб-сервера до домашніх сторінок користувача, якщо припустити, що він www-dataє користувачем і ~/public_htmlде зберігається домашня сторінка:

setfacl u:www-data:X ~user
setfacl d:u:www-data:rX ~user/public_html

Аналогічно додайте ACL-адреси для поштових процесів та каталогів поштової скриньки.

ACL включені за замовчуванням на ext4, принаймні, на Ubuntu 14.04 і вище.

/tmp і umask

Ще одна проблема /tmp. Встановіть umaskтак, щоб файли не читали групово чи у всьому світі, щоб тимчасові файли користувачів не були доступні для інших користувачів.

За допомогою цих трьох налаштувань користувачі не повинні мати доступ до файлів інших користувачів або перевіряти їхні процеси.