La méthode traditionnelle pour restreindre l'accès d'un processus se fait avec l'appel
système chroot()
. Cet appel système change le répertoire
racine depuis lequel tous les autres chemins sont référencés pour un processus et ses
fils. Pour que cet appel réussisse, le processus doit avoir exécuté (recherché) la
permission dans le répertoire référencé. Le nouvel environnement environment ne prend pas
effet que lorsque vous appelez chdir()
dans celui-ci. Il
doit être aussi noté qu'un processus peut facilement s'échapper d'un environnement chroot
s'il a les privilèges du super-utilisateur. Cela devrait être accompli en créant des
fichiers spéciaux de périphérique pour la mémoire du noyau, en attachant un dévermineur à
un processus depuis l'extérieur de sa "prison", ou par d'autres manières créatrices.
Le comportement de l'appel système chroot()
peut être un
peu contrôlé avec la commande sysctl et la variable
kern.chroot_allow_open_directories. Quand cette valeur est règlée à 0, chroot()
échouera avec EPERM s'il y a un répertoire d'ouvert. Si
la variable est règlée sur la valeur par défaut 1, alors chroot()
échouera avec EPERM s'il y a un répertoire d'ouvert et
que le processus est déjà sujet à un appel chroot()
. Pour
toute autre valeur, la vérification des répertoires ouverts sera totalement
court-circuitée.
Le concept de Prison ("Jail") étend chroot()
en limitant
les droits du super-utilisateur pour créer un véritable `serveur virtuel'. Une fois
qu'une prison est mise en place, toute communication réseau doit avoir lieu au travers de
l'adresse IP spécifiée, et le droit du "privilège super-utilisateur" dans cette prison
est sévèrement gêné.
Tant qu'il se trouve en prison, tout test avec les droits du super-utilisateur dans le
noyau au travers d'un appel à suser()
échouera. Toutefois,
quelques appels à suser()
ont été changés par la nouvelle
interface suser_xxx()
. Cette fonction est responsable de
fournir ou de retirer les accès aux droits du super-utilisateur pour les processus
emprisonnés.
Un processus super-utilisateur dans un environnement emprisonné a le pouvoir de :
Manipuler les identitifications avec setuid
, seteuid
, setgid
, setegid
, setgroups
, setreuid
, setregid
, setlogin
Règler les limites en ressources avec setrlimit
Modifier quelques variables du noyau par sysctl (kern.hostname)
chroot()
Règler les paramètres d'un noeud virtuel (vnode): chflags
, fchflags
Règler les attributs d'un noeud virtuel comme les permissions d'un fichier, le propriétaire, le groupe, la taille, la date d'accès, et la date de modification.
Se lier à des ports privilégiés sur Internet (ports < 1024)
Jail
est un outil très utile pour exécuter des
applications dans un environnement sécurisé mais il a des imperfections. Actuellement,
les mécanismes IPC (Inter-Process Communications) n'ont pas été convertis pour utiliser
suser_xxx
aussi des applications comme MySQL ne peuvent
être exécutée dans une prison. L'accès super-utilisateur peut avoir un sens très limité
dans une prison, mais il n'y aucune façon de spécifier exactement ce que très limité veut
dire.
Posix a réalisé un document de travail qui ajoute l'audit d'évènement, les listes de contrôle d'accès, les privilèges fins, l'étiquetage d'information, et le contrôle d'accès mandaté.
Il s'agit d'un travail en cours et c'est l'objectif du projet TrustedBSD. Une partie du travail initial a été intégré dans FreeBSD-current (cap_set_proc(3)).
Précédent | Sommaire | Suivant |
Les problèmes liés à SetUID | Niveau supérieur | La confiance |
Ce document, ainsi que d'autres peut être téléchargé sur ftp.FreeBSD.org/pub/FreeBSD/doc/.
Pour toutes questions à propos de FreeBSD, lisez la documentation avant de contacter <[email protected]>.
Pour les questions sur cette documentation, contactez <[email protected]>.