Povinné řízení přístupu (MAC)

Obsah

• Povinné vs. volitelné řízení přístupu
  • Volitelné řízení přístupu (Discretionary access control, DAC)
  • Povinné řízení přístupu (Mandatory access control, MAC)
• SELinux
  • Pojmy
  • Politiky a pravidla
  • Zprovoznění
  • Přísný (enforcing) a laxní (permissive) režim
  • Nástroje
  • Lokální politiky
• AppArmor
  • Zprovoznění
  • Profily
  • Nástroje
• TOMOYO Linux
• Literatura

Povinné vs. volitelné řízení přístupu

Volitelné řízení přístupu (Discretionary access control, DAC)

• Soubory a adresáře u sebe mají v metadatech uvedeno, kdo s nimi může co dělat.

• Vlastník souboru (nebo root) může oprávnění libovolně měnit a tak delegovat práva na jiné uživatele.

• Klasická unixová oprávnění
  • soubor/adresář má krom vlastníka přidělenou vlastnící skupinu
  • práva číst, zapisovat a spouštět/procházet se uděluje u souboru zvlášť vlastníkovi, uživatelům ve skupině a ostatním uživatelům
  • změna nástroji chmod, chgrp, chown, čtení přes ls nebo stat
  • příklad: rwxr-xr-- nebo osmičkově 0754
• ACL (Access Control List, přístup-řídicí seznam)
  • umožňuje přidat práva dalším uživatelům a skupinám nad rámec unixových oprávnění
  • adresářům umožňuje nastavit výchozí oprávnění pro nově vzniklé objekty v nich
  • vyžaduje souborový systém s podporou rozšířených atributů (xattr)
  • nástroje setfacl, getfacl (nemusí být ve výchozí instalaci)
  • ls -l u módu souborů s ACL zobrazuje +

  • příklad:

    $ ls -l /home/paradise
    drwxrwxr-t+ 2 root paradise 4096 30. čec 10.43 /home/paradise
    $ getfacl /home/paradise
    getfacl: Removing leading '/' from absolute path names
    # file: home/paradise
    # owner: root
    # group: paradise
    # flags: --t
    user::rwx
    group::rwx
    other::r-x
    default:user::rwx
    default:group::rwx
    default:group:paradise:rwx
    default:mask::rwx
    default:other::r-x

• Jakýkoli program spuštěný uživatelem může cokoli, na co má uživatel právo; například číst soukromé klíče nebo přepisovat uživatelovy dokumenty. Problém je to zvlášť u démonů běžících pod rootem a vystavených veřejné síti.

Povinné řízení přístupu (Mandatory access control, MAC)

• Pravidla pro přístup nejsou součástí metadat souborů, ale systémové konfigurace.
• Pravidla typicky omezují, se kterými souboru může ten který proces pracovat.
• Pravidla jsou v platnosti nezávisle na stupni oprávnění procesu (tj. omezují i rootovy procesy).
• Měnit pravidla nemůže (nebo nemusí moci) vlastník souboru, ale jen správce (či pověření uživatelé).
• Nenahrazuje, ale doplňuje DAC. Nemůže navýšit práva nad úroveň poskytnutou DAC, může je však omezit.
• V Linuxu systémy povinného řízení přístupu používají jaderné rozhraní Linux Security Modules, které neumí provozovat více takových systémů zároveň, je proto potřeba si vybrat jeden. Nejznámější jsou SELinux a AppArmor, ale existují i jiné.

SELinux

• Přiřazuje souborům a procesům další metadata (SELinuxový štítek, label).
• Na základě štítků určuje, zda má proces určité právo. Na ničem jiném nezáleží, nehraje roli např. cesta k souboru nebo jméno přihlášeného uživatele.
• Vyžaduje souborový systém s podporou rozšířených atributů (xattr).
• Velice mocný systém, jeho pochopení a konfigurace jsou ale poměrně obtížné.

Pojmy

• Subjekt – aktivní entita, tj. uživatel nebo proces.
• Objekt – pasivní entita, tj. soubor, síťové rozhraní apod.
• Oprávnění (permission) – akce, kterou subjekt může/nesmí s objektem provádět (např. read, append, lock, execute). (níže).
• SELinuxový uživatel – může odpovídat unixovému uživateli nebo jejich skupině. Například staff_u nebo speciální system_u.
• Role – každý SE-uživatel má přiřazeno několik rolí, na něž se dále navazují práva (přes typy). Například:
  • user_r – obyčejný uživatel
  • sysadm_r – administrátor (navazuje se na něj více práv)
  • system_r – démony apod.
  • object_r – „dummy“ role pro objekty
• Typ –- značka, pomocí níž se primárně kontrolují práva; vizte níže. Například:
  • bin_t – binárky;
  • shell_exec_t – binárky shellů;
  • lib_t – knihovny
  • http_port_t – port TCP č. 80
  • různé specifické: httpd_t, sshd_key_t, xscreensaver_t
• Štítek (label) neboli bezpečnostní kontext – metadata objektu či subjektu: trojice uživatel_u:role_r:typ_t.
• Pravidlo (rule) – dává do souvislosti štítek subjektu a objektu a oprávnění.
• Politika (policy) – sada pravidel.
• Atribut – skupina typů sloužící k jednoduššímu psaní pravidel.
• Boolean – přepínač sloužící k dodatečnému nastavení politiky za běhu.

„Doména“ se v textech používá občas pro typ a občas pro štítek, ale vždy v souvislosti se subjekty, nikoli objekty.

Politiky a pravidla

SELinux primárně uděluje či zamítá přístup v závislosti na typech. Každé přístupové pravidlo říká, jaký typ subjektu (např. user_t, skuteční běžní uživatelé) může s jakými typy objektů (např. lib_t, knihovny a adresáře s knihovnami) provádět jaké akce. Například:

$ sesearch -s user_t -t lib_t -A
allow domain lib_t:dir { getattr ioctl lock open read search };
allow domain lib_t:file { execute getattr ioctl map open read };
allow domain lib_t:lnk_file { getattr read };
…

Název za dvojtečkou je tzv. třída (class) a odpovídá různým druhům souborů, ale třeba i soketů.

Linuxové distribuce poskytují hotové politiky (sady pravidel) týkající se různých serverů, démonů, ale i aplikací, které jsou v distribuci dostupné. Systémové politiky mají podobu binárního souboru a pro jejich změnu je nutné si opatřit soubor zdrojový. Není nutné upravovat systémovou politiku; patrně nám bude stačit vyrobit si nový modul s politikou, který následně do systému zavedeme.

Když je SELinux zapnutý, řídí se jeho politikami všechno. Přístupy, které nejsou v souladu s politikou, jsou zamítnuty. Takový stupeň restrikce ale není vždy schůdný – chceme třeba omezovat jen služby vystavené do sítě a pro zbytek systému bychom rádi, aby SELinux „nebyl“. Pro tento účel existuje několik nedotčených (unconfined) domén, např. unconfined_t, které jsou normálními SELinuxovými doménami, ale mají tolik práv, že vlastně nic neomezují.

Zprovoznění

• V některých distribucích (Fedora, RHEL) by měl být ve výchozím stavu zapnut.
• Je potřeba mít v kernelu zapnuty volby CONFIG_AUDIT a CONFIG_SECURITY_SELINUX.
• Arch Linux: oficiálně SELinux nepodporuje, můžete zkusit postup na wiki
• Debian: taky na wiki, TL;DR:
  • nainstalovat selinux-basics selinux-policy-default auditd setools;
  • spustit selinux-activate (nastaví GRUB a PAM a naplánuje přeštítkování);
  • rebootovat, po automatickém přeštítkování se systém rebootuje sám;
  • getenforce má vypsat „Permissive“.
• U jiných systémů může být potřeba ručně přidat SELinuxové jaderné parametry do GRUBu a nastavit PAM, aby po přihlášení uživatele správně oštítkoval.
• Když něco moc pokazíte: jaderný parametr selinux=0 v GRUBu.
• V konfiguračním souboru /etc/selinux/config se dá nastavit, která systémová politika se používá (pokud jich je k disposici více, např. zda omezovat pouze démony nebo všechny procesy), ale nemělo by být potřeba měnit.

Přísný (enforcing) a laxní (permissive) režim

• Při každém akci s libovolným objektem systém kontroluje, zda má podle politiky subjekt k objektu příslušné oprávnění.
• Při porušení závisí chování na aktuálním režimu vynucování politiky.
• Permissive: porušení pravidla (např. proces se snaží číst, co nemá) je zaneseno do logu (/var/log/audit/audit.log), ale akce se stane. Vhodné pro ladění.
• Enforcing: systém nedovolí nic, co neodpovídá politice. Porušení se také logují.

Nástroje

• informace o politice, rolích, typech apod.: seinfo
• aktuální stav: sestatus
• zjištění domén procesů: ps -Z
• vypsání štítků souborů: ls -Z, vypisuje i stat
• zjištění režimu: getenforce
• přepnutí režimu: setenforce {0|1}
• vyhledávání v nedávných lozích: ausearch -m avc --start recent
• změna štítku (kontextu): chcon -t novytyp_t
  • obnova: restorecon
  • celosystémová obnova: touch /.autorelabel && reboot

Lokální politiky

Vlastní pravidla můžeme do SELinuxu dostat následujícím postupem:

1. Opatříme si soubory pro vývoj politik (v Debianu balíček selinux-policy-dev).
2. Zkopírujeme správný Makefile (/usr/share/selinux/devel/Makefile) do svého vývojového adresáře.
3. Napíšeme zdroják politiky (vizte příklady níže). Pozor, jméno souboru musí odpovídat jménu politiky (např. my_policy.te pro politiku my_policy).
4. Spustíme make; tím se vytvoří modul s politikou my_policy.pp.
5. Zavedeme modul: semodule -i my_policy.pp
6. Otestujeme: oštítkujeme soubory, zkusíme spustit binárky a kontrolujeme při tom log. Máme-li zapnut režim enforcing, nedostatky budou zřejmější, ale permissive umožní při ladění odchytit zároveň víc přístupů, které chceme přidat do politiky.
7. V případě úprav politiky před novým sestavením modulu může být zapotřebí inkrementovat číslo verse.

Pokud něco v politice chybí (a např. ani nemůžeme změnit štítek u souboru na náš nový typ), dají se příslušná pravidla vyrobit přímo z logu:

tail -3 /var/log/audit/audit.log | audit2allow -r

Do politiky bude potřeba přidat spoustu pravidel zajišťujících:

• aby se soubory daly přeštítkovat z unconfined_t na náš nový typ;
• aby se při spuštění námi oštítkované binárky změnila doména (bezpečnostní kontext procesu) z unconfined_t;
• aby štítky s novým typem dávaly smysl (mělo by stačit přidat k roli unconfined_r náš nový typ).
• aby procesy v nové doméně mohly číst a linkovat systémové knihovny.
• aby měly procesy přístup ke konsoli, /dev/null a případně dalším speciálním souborům.
• ke kterým dalším adresářům a souborům má proces v nové doméně přístup.
• aby k oštítkovaným souborům měly přístup i unconfined subjekty.

Může se hodit: seznam udělitelných oprávnění.

Příklad pravidel v souboru local_policy.te:

# Jméno a verse modulu
policy_module( local_policy, 1.0.0 )

# Které externí typy, role, třídy apod. se používají
require {
    type unconfined_t;
    type fs_t;
    type root_t;
    role unconfined_r;
}

type mytype_t;
role unconfined_r types { mytype_t };

# `getattr`, `relabelto` a `associate`, aby vůbec šlo přeštítkovat.
allow unconfined_t mytype_t : dir { getattr relabelto open create read write search add_name remove_name rmdir };
allow unconfined_t mytype_t : file { getattr relabelto open read write execute link unlink };
allow unconfined_t mytype_t : file { getattr relabelto open read write execute link unlink };

allow mytype_t fs_t : filesystem { associate };

# Když unconfined spustí binárku s `mytype_t`, poběží proces v `mytype_t`
type_transition unconfined_t mytype_t : process mytype_t;
allow mytype_t self : file { entrypoint read execute };
allow unconfined_t mytype_t : process { transition rlimitinh siginh };

# Umožní procesům v doméně `mytype_t` procházet `/`
# Podobně je potřeba přidat typy dalších systémových adresářů.
allow mytype_t root_t : dir { search }

# Pro binárky je potřeba přidat další oprávnění, aby se daly dynamicky
# přilinkovat knihovny, používat konsoli (vč. popisovačů souborů napojených na
# SSH) a aby binárka mohla číst a mapovat do paměti sama sebe.
# Potřebná oprávnění se dají vytahat z logu auditu jako porušení politiky.

Nadto se dá přidat ještě soubor local_policy.fc, který říká, kterým souborům se mají přidělit které štítky při automatickém oštítkování. Například:

/root/my_untrusted_binary  --  unconfined_u:object_r:mytype_t:s0
/root/some_dir(/.*)?           unconfined_u:object_r:mytype_t:s0
# `--` je nepovinný typ souboru (jako v `ls`: obyčejné `--`, adresáře `-d` apod.)
# `s0` je úroveň pro víceúrovňové politiky; nebudeme používat

AppArmor

• Nepoužívá štítkování, ale cesty k souborům:
  • binárky jsou identifikovány cestami,
  • binárkám se udělují oprávnění k cestám,
  • dotčené soubory nenesou samy žádný bezpečnostní kontext.
• Jednodušší na konfiguraci, není ale tak ohebný.
• Pravidla se sdružují do profilů, typicky jeden profil na jeden program.
• Každý profil může být v jednom ze tří režimů:
  • nepoužitý (unconfined) – žádná pravidla se nepoužívají;
  • sledovaný (complain) – odpovídá režimu permissive SELinuxu;
  • vynucený (enforce) – odpovídá režimu enforcing SELinuxu.
• Umožňuje přes pravidla deny zakazovat přístup i v režimu complain.
• Porušení se logují do /var/log/audit/audit.log, případně /var/log/messages.

Zprovoznění

• V některých distribucích ve výchozím nastavení zapnut (Ubuntu, Debian).
• Je zapotřebí jádro s povolenými volbami CONFIG_AUDIT a CONFIG_SECURITY_APPARMOR.
• Jaderné parametry při bootu: apparmor=1 security=apparmor, případně jádro se volbami mající stejný výsledek.
• Pro práci je samozřejmě potřeba nějaký balíček s utilitami.
• Pro pohodlnou tvorbu profilů může být zapotřebí auditd (v Debianu nemusí).

Profily

• Uloženy v /etc/apparmor.d/.
• Dodatečné profily z balíků (např. apparmor-profiles-extra) mohou být po instalaci jinde a je potřeba je do výše zmíněného adresáře překopírovat a aktivovat.

• Příklad: /etc/apparmor.d/bin.ping z distribuce:

  #include <tunables/global>
  profile ping /{usr/,}bin/{,iputils-}ping flags=(complain) {
    #include <abstractions/base>
    #include <abstractions/consoles>
    #include <abstractions/nameservice>
  
    capability net_raw,
    capability setuid,
    network inet raw,
    network inet6 raw,
  
    /{,usr/}bin/{,iputils-}ping mixr,
    /etc/modules.conf r,
  
    #include <local/bin.ping>
  }

• Oprávnění se značí písmenky:
  • r čtení
  • w/a zápis/přípis
  • m spustitelné mapování do paměti
  • k zamykání
  • _x různé režimy spustitelnosti (zde ix = bez změny oprávnění)
• Krom přístupu k souborům umí řídit i přístup k síti, používání DBusu, připojování svazků a další zdroje.
• Přes #include umožňuje sdílet pravidla napříč profily, např #include <abstractions/perl> zpřístupní pro čtení perlové moduly.

• Formát je popsán v man 5 apparmor.d, ale k jednoduchému vytváření bez nutnosti psát profil od začátku dobře poslouží interaktivní nástroj (níže).

Nástroje

Může být zapotřebí nainstalovat balíček apparmor-utils nebo podobný.

• přehled aktuálně aktivních profilů: aa-status
• zapnutí/vypnutí/znovunačtení AppArmoru: přes systemctl <akce> apparmor
  • vypnutí též přes aa-teardown
• základní utilita, která mj. obsluhuje profily v jádře: apparmor_parser
  • znovunačtení jednoho profilu: apparmor_parser -r /etc/apparmor.d/<jméno>
• přepnutí režimu profilu: aa-enforce /bin/ping, podobně aa-complain a aa-disable
• zjištění, zda je proces dotčen nějakým profilem: ps -Z
• upozornění na porušení politiky přes notifikační systém: aa-notify
• interaktivní tvorba profilu: aa-genprof <binárka>
  • vytvoří pro binárku prázdný profil a zapne ho v režimu complain,
  • uživatel si všemožně s binárkou pohraje (což vygeneruje logy o porušení přístupových práv),
  • utilita z logů vyrobí návrhy pravidel, z nichž si uživatel vybere ta oprávněná,
  • naplněný profil se přepne do režimu enforce.
• stejně funguje interaktivní úprava při aa-logprof

TOMOYO Linux

• Myšlenkově bližší AppArmoru; používá cesty.
• Nemá předpřipravenou politiku/sadu profilů, ale má režim učení, který v reálném čase zjišťuje přístupy, tvoří z nich pravidla, a ta se následně dají zkontrolovat, upravit, zamrazit a začít vynucovat.
• Více na stránkách projektu.

Literatura

1. man 2 chmod
2. man 2 chown
3. man 5 acl
4. Stránky projektu SELinux, zejména
   • Type enforcement
   • Seznam oprávnění
5. Série tutoriálů na fosteringlinux.com, zejména
   • část o lozích
   • jedna část o modulech
   • druhá část o modulech
   • část o přeštítkovacích pravidlech
   • část o přechodech
6. Gentoo Wiki: SELinux, zejména
   • Type enforcement
   • Unconfined domains
   • Logging
   • Booleans
   • How does a process get into a certain context
7. Arch Wiki: SELinux
8. Debian Wiki: SELinux Setup
9. Understanding the File Context Files
10. Ubuntu Wiki: AppArmor
11. Debian Wiki: AppArmor, How to use
12. Debian Wiki: AppArmor, Debug
13. man 5 apparmor.d
14. Arch Wiki: AppArmor
15. Arch Wiki: TOMOYO Linux
16. Srovnání systémů MAC