Linux非root用户运行服务实践

已于 2023-11-06 20:17:34 修改
阅读量955 收藏 1
点赞数
分类专栏: 网络 文章标签: linux
于 2023-11-03 22:09:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jkler_doyourself/article/details/134210690
版权

前言

以前就知道如果Linux服务以非root的方式运行会增强系统的安全性,但如何去实践呢?

Linux安全基础

安全设计原则

  • 最小安全原则
  • 纵深防御,提供多因素防护机制

一般应尽可能缩小权限的授予范围

技术手段

  • 用户隔离
  • rwx读写执行权限
  • capability特权权限
  • PAM体系pam_cap模块
  • ACL等

简单非root用户运行方案

一般的应用,用非root用户做隔离,对于文件仅所有者拥有读写、执行、权限,同组内和其它组的用户可以根据场景,设定合理的权限就可以完成。

原则就是最小安全原则,不过多授予权限!

涉及特权的的方案

粗浅介绍

对于某些需要添加和修改系统的IP,和创建RAW套接字的应用,那么在rwx基础权限和用户隔离的基础上,需要通过setcap操作进行特权授权,但整体上玄机并不多。

可以看到rwx为整个安全控制的基础,与capability特权权限形成权限检查链条,某一环节的卡壳,就会可以造成服务不可用。

简单场景,我们依然将这些需要特权的服务部署在以用户隔离的目录下,并设定合理的rwx权限,然后以root用户身份,通过setcap操作授予特权用户目录下某(些)启动程序获得特权。

即使这些用户具有一些特权,但是,由于是非root用户,对于其它用户的文件资源,并不能偷窃,这也实现了一定程度的安全性。

不过,最好的实践是依赖systemd.service机制,进行外围的包装。

特权集介绍

这个概念纠缠的原因就在于实际上区分了,进程特权集和文件特权集。特别在可继承特权集的设定上,完全是南辕北辙。

  • 进程可继承特权集是南向的,面向下游进程树传播
  • 文件可继承特权集是北向,会与上游进程的南向特权集进行相与判断

进程/线程特权集

  • CapInh = Inheritable capabilities

决定在进程树下如何进行特权继承,注意,此处需要区分是否capabilities aware,后续进程启动二进制文件是否主动进行了setcap授权

  • CapPrm = Permitted capabilities

允许的特权集

  • CapEff = Effective capabilities

当前特权集

  • CapBnd = Bounding set

系统可用特权集

  • CapAmb = Ambient capabilities set

环境特权集,并没有通过setcap授权的连带程序如何自动获得特权的机制

文件特权集

  • e

可以生效的特权集

  • p

允许的特权集

  • i

决定是否从上游继承某些权限

对于文件通过setcap能够借助root用户授予特权属性,又可以看作Linux一切都可以看做文件的深入设计

优先级最高

相对于Ambient capabilities set的自动传播,如果某文件特殊设定了特权集,则以文件中明确设定的为准,见特权生效算法介绍

最佳实践

次优

在服务中存在某个根启动程序,从此启动程序可以创建出一颗进程树出来,但仅需对此根启动程序通过setcap文件特权集进行授予权限,其它涉及的程序并不进行主动设定。

通过根程序进程的Inheritable capabilitiesAmbient capabilities set,在进程树内进行特权权限的传递、传播。

与docker容器特权传递类似,营造成一个环境出来

最佳之systemd.service机制

  • AmbientCapabilities

配置字段可以配置环境特权集

  • User

运行服务的隔离用户

不用特殊实现根启动程序,依赖系统自身初始化启动程序

例子

[Unit]
Description=Check raw socket privilege Using RAW socket
After=network.target

[Service]
Type=simple
User=cap
AmbientCapabilities=CAP_NET_RAW CAP_NET_ADMIN
ExecStart=/usr/bin/checkraw -s
ExecStop=/bin/kill -HUP $MAINPID
TimeoutStartSec=360
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

ambient环境特权集弱点

相比较于对每个设计文件进行setcap授权,通过Inheritable capabilitiesAmbient capabilities set进行传播特权的方式,相当于粗放管理,但是,部署会比较简便。

在恶意攻击的i情况下,攻破这个进程树的某一个进程,就可以获取到比较多的特权。

补充

PAM的孱弱

通过pam_cap模块,PAM aware程序,例如,susudo程序,见/etc/pam.d/下对应的配置,启动后的进程自动获得在/etc/security/capability.conf中根据用户配置/可继承权限Inheritable capabilities

但是,因为pam_cap模块版本的限制,并不能设置Ambient capabilities set,对于未经setcap授权二进制文件所启动的进程,并不能形成很好的权限传递和传播!

在libcap-2.58+版本支持了Ambient capabilities set的设置

pam_cap失效的一种原因

按照man中的介绍,在/etc/security/capability.conf中配置auth optional pam_cap.so并不能生效的原因是因为,配置在PAM鉴权栈中如果遭遇requisitesufficient很早就提前返回了,并不能将配置生效!

参考链接

快乐的阿常艾念宝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mysql 8.0.16 winx64及Linux修改root用户密码 的方法
12-16
4. 然后,更新root用户的`authentication_string`字段: ```sql FLUSH PRIVILEGES; ALTER USER 'root'@'localhost' IDENTIFIED BY '新密码'; ``` 5. 最后,重启MySQL服务以应用新的密码设置: ```bash sudo ...
在PHP中运行Linux命令并启动SSH服务的例子
10-25
`su -c 'service ssh start' root`命令将执行以root用户启动SSH服务的操作。 4. **密码传递**: 在`su`命令执行后,需要输入root用户的密码。为了实现这一点,我们等待一定时间(`sleep(3)`),然后通过管道写入...
Linux查看root运行的进程
牛栏山矿泉水
03-13 676
Linux查看root运行的进程 youhaidong@youhaidong-ThinkPad-Edge-E545:~$ ps -U root -u root -N PID TTY TIME CMD 663 ? 00:00:00 dbus-daemon 713 ? 00:00:00 rsyslogd 730 ? ...
Linux使用root用户启动程序
最新发布
wacpguo的专栏
03-14 469
更改目录所属用户 chown -R g2:u2 /usr/tomcat8.5。创建用户 useradd -g g2 u2。设置密码 passwd 111。创建用户组 groupadd g2。启动tomcat ./srart.sh。锁定用户 passwd -l u2。切换到tomcat用户 su u2。以启动tomcat为例。
Linux - root用户使用systemctl管理服务
小工匠
12-18 5962
在目录下创建一个自定义的服务文件,例如。[Unit][Service][Install]请确保替换和your-group为实际的可执行文件路径、root用户用户名和用户组。
linuxroot用户启动桌面
weixin_34318956的博客
06-08 235
某些时候,开机级别是命令行,但是有时后需要用到桌面环境,但是又需要使用root权限,常不方便。解决方法:在普通用户的家目录下新建.xinitrc 文件,# vi .xinitrc内容如下:exportLC_ALL="zh_CN.UTF-8" exportXMODIFIERS=@im=SCIM exportGTK_IM_MODULE="scim" eval`dbus-...
Linux下临时以root身份执行命令
zhangge3663的博客
09-27 1370
有时会遇到linux下的某些命令不能以root身份运行,比如vlc命令是不能以root身份运行的。这时,如果不想切换到root身份并且执行完了以后再切换回来,可以在root下这样做: su yasi --shell=/bin/sh -c "vlc -vv" 后面的双引号括起来的部分就是真正要执行的命令 ...
linux 普通用户切换成root免密码的实现
09-15
Linux系统中,普通用户通常没有管理权限,但有时为了执行特定的系统级任务,可能需要切换到具有超级用户权限的root账号。然而,频繁地输入root密码可能会造成不便,尤其是自动化脚本或无人值守场景下。这时,可以...
linux用户添加root权限方法总结
01-09
这将使`tommy`用户运行`sudo -s`或`su -`命令后拥有root权限。 4. **赋予root权限方法三:修改passwd文件**: 虽然这种方法不推荐,但可以通过修改`/etc/passwd`文件,将用户的UID(用户标识号)改为0,这通常...
linux中如何添加用户并赋予root权限详解
09-15
方法二:同样编辑`/etc/sudoers`文件,但在`root`行下添加用户eric,允许其运行所有命令: ``` # visudo ``` 添加: ``` eric ALL=(ALL) ALL ``` 方法三:最安全的方法是修改`/etc/passwd`文件,将用户的...
linux(centos)下root用户执行管理命令
10-11 2512
转自:http://www.hdwiki.net/doc-view-219.html
linuxroot无法执行,Linux查看root流程执行
weixin_42662293的博客
05-13 205
Linux查看root流程执行youhaidong@youhaidong-ThinkPad-Edge-E545:~$ ps -U root -u root -NPID TTY TIME CMD663 ? 00:00:00 dbus-daemon713 ? 00:00:00 rsyslogd730 ? 00:00:00 avahi-dae...
Linux设置root用户启动程序
weixin_44953227的博客
07-18 4115
Linux设置root用户启动程序
linuxroot身份运行,Kali Linux 将默认以 root 身份运行
weixin_34677884的博客
05-10 207
Kali Linux 基于 Debian-Testing,它是 Debian 下一版本的开发分支,实际上,它比许多主流 Linux 发行版都更稳定。正因这种稳定性,越来越多的用户将 Kali 用作日常操作系统,从而推动了这一转变。该团队负责人 Jim O'Gorman 表示,“尽管我们不鼓励人们将 Kali 作为日常操作系统运行,但在过去的几年中,越来越多的用户开始这样做,也包括 Kali 开发团...
MySQL【部署 02】Linux root 用户部署 mysql-5.7.28 设置开机启动及问题汇总(含云盘资源)
Java与大数据相关实践内容分享!
07-15 1679
【MySQL安装】Linux root 用户部署 mysql-5.7.28 设置开机启动及问题汇总(含云盘资源)
20 | 容器安全(2):在容器中,我不以root用户运行程序可以吗?
草办的学习记录
09-12 1876
本文仅作为学习记录,商业用途,侵删,如需转载需作者同意。
root用户执行程序---sudo的使用
翔云
11-12 6310
场景在应用部署过程中,会遇到这样的问题:前期需要root用户执行配置、初始化工作,而具体的业务应用需要使用root用户启动。 如何解决呢?方法可以使用sudo,实现授权。 sudo命令授权,既可以使超级用户执行超级用户的命令,也可以让超级用户以普通用户身份执行程序。上面场景的解决方案具体步骤如下:切换到root用户 配置/etc/sudoers在文件末尾添加: root ALL=(
简述Linuxroot用户获取root权限方式与区别
moyanalone的博客
09-14 2039
su - root 是真正切换到root用户身份。sudo su 只是临时获取root权限来执行命令,环境等还是当前用户,更加安全但权限受限。
ansible学习笔记【5】root用户使用ansible
blackawhite的博客
04-20 2469
ansible node1 -m ping -m 指定功能模块 ping 测试被控主机是否满足使用条件 返回成功表示control节点可以与node节点通信 ansible-doc ping 可以查看该模块的作用
Linux服务器搭建与管理实战:从基础到进阶
"本文档提供了一份关于Linux服务器搭建与管理的实践指南,涵盖了从安装RHEL5.5(CentOS5.5)操作系统到配置LVM、用户与组管理等多个方面,适合对Linux有一定基础的读者学习。" 在Linux环境中,服务器搭建与管理是一项...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值