Ασφάλεια στα άκρα | Hardening μιας υπηρεσίας με το systemd

Στον σημερινό οδηγό θα δούμε πως μπορούμε να βελτιώσουμε μια υπηρεσία που τρέχουμε στον server μας με την βοήθεια του systemd.

Σε ένα προηγούμενο άρθρο μίλησα για το systemd-analyze security και πως μπορείς να δεις με μια μάτια πόσο ασφαλείς είναι οι υπηρεσίες που έχεις. Σήμερα θα δούμε ένα πρακτικό παράδειγμα.

Ένας απλός web server

Έφτιαξα μια πολύ απλή υπηρεσία που απλά τυπώνει ένα μήνυμα. Η γλώσσα προγραμματισμού είναι η Rust και θα βρείτε τον κώδικα στο παράρτημα. Χρησιμοποιεί socket activation αλλά μπορεί να δουλέψει σε οποιοδήποτε σύστημα init.

Θέλω δυο units για αυτή την υπηρεσία τα οποία θα δημιουργηθούν (ή θα γίνουν symlink) στο /lib/systemd/system/

Αυτά είναι:

# hello_service.service
[Unit]
Description=Simple Rust Server 
Wants=hello_server.socket
After=hello_server.socket

[Service]
ExecStart=/home/talos/Projects/Rust/hello_server/target/release/hello_server

και

# hello_server.socket
[Unit]
Description=Simple Rust Server socket

[Socket]
ListenStream=82

[Install]
WantedBy=sockets.target

αν ο χρήστης θέλει να κάνει αλλαγές, για παράδειγμα να βάλει την υπηρεσία να ακούει στην πόρτα 80, θα κάνει τις αλλαγές με αρχεία στο /etc/systemd/system. Αν θέλει να τις ακυρώσει απλά θα αφήσει τα αρχεία που έκανε. Κανένας λόγος να κρατάμε αντίγραφα, κανένας λόγος να δυσκολέψουμε την αναβάθμιση και ένας απλός τρόπος να ξέρεις τι αλλαγές έχουν γίνει. Ένας ωραίος stateless σχεδιασμός.

Όλα καλά λοιπόν και τίποτα δεν μπορεί να πάει στραβά… Ο κώδικας μου είναι τέλειος… σωστά ;

Ανάλυση ασφαλείας της υπηρεσίας μου

Η εντολή

systemd-analyze --no-pager security hello_server

θα δώσει

→ Overall exposure level for hello_server.service: 
9.6 UNSAFE 😨

Χμμμ…. τελικά μεγάλα λόγια ξεστόμισα… UNSAFE σε βαθμό 9.6 !

1. Αλλάζοντας τον χρήστη που τρέχει την υπηρεσία

Δεν ξεκινάμε καθόλου ενθαρρυντικά, αλλά με βάση το προηγούμενο άρθρο που μίλησα για το systemd-analyze security, η τελευταία στήλη μας λέει που να δώσουμε βάρος.

Κατ’ αρχάς θέλουμε να έχει άμεση πρόσβαση στο δίκτυο, οπότε το PrivateNetwork= το ξεχνάμε. Αλλά ας το κάνουμε να μην τρέχει σαν χρήστης root τουλάχιστον. Θα αλλάξουμε το unit και θα προσθέσουμε

[Service]
...
# Sandboxing
User=www-data
Group=www-data
#DynamicUser=yes

και οι εντολές

sudo systemctl daemon-reload
systemd-analyze --no-pager security hello_server

θα δώσουν

→ Overall exposure level for hello_server.service: 
8.2 EXPOSED

Είναι μια καλή αρχή.

Παρατηρήσεις:

Το συγκεκριμένο service δεν κάνει πολλά, δεν διαβάζει αρχεία, ούτε γράφει αρχεία που παραμένουν μετά που θα σταματήσει. Σε μια τέτοια περίπτωση θα άξιζε τον κόπο να φτιάξεις έναν χρήστη ειδικά για το service όπως τον www-data. Εδώ όμως καλύτερα είναι ένας δυναμικός χρήστης. Αλλά θα πάρουμε τον δύσκολο δρόμο και θα φτιάξουμε τις επιπλέον ασφάλειες με το χέρι, κάτι ποιο χρήσιμο όπως όταν θέλεις να κάνεις hardening κάτι σαν το nginx.

Ένας δυναμικός χρήστης είναι ένας χρήστης που υπάρχει μόνον όσο τρέχει η υπηρεσία και θα δημιουργηθεί αυτόματα. Ένας “δυναμικός χρήστης” τρέχει σε ένα ποιο ασφαλές περιβάλλον με απόλυτα περιορισμένες και εφήμερες δυνατότητες και δικαιώματα.
πηγή: Dynamic Users with systemd

Τώρα αν τρέχει σαν χρήστης πως μπορεί να ανοίξει την προστατευμένη πόρτα 82; Κανονικά θα έπρεπε να ξεκινάει σαν root για να μπορεί να το κάνει αυτό. Ναι αλλά η υπηρεσία είναι socket activated θυμάστε; Άρα δεν ανοίγει καμία πόρτα την παίρνει έτοιμη από το systemd. Σε αυτές τις περιπτώσεις θα προσθέσουμε ένα capability στο εκτελέσιμο

AmbientCapabilities=CAP_NET_BIND_SERVICE

Τα capabilities είναι ένας τρόπος να επιτρέψουμε σε ένα εκτελέσιμο που δεν τρέχει σαν root να έχει επιπλέον δικαιώματα. Στο παραδοσιακό UNIX θα έπρεπε να είχε το suid bit και ήταν ή όλα ή τίποτα.
πηγή: capabilities — Linux manual page

2. Περιορίζοντας την πρόσβαση στο σύστημα αρχείων

Μια παραδοσιακή υπηρεσία συνήθως θέλει κάποιο runtime directory όπου βάζει ένα PID αρχείο. Η απλή μας υπηρεσία δεν έχει ανάγκη κάτι τέτοιο, αλλά ας της δώσουμε το /var/run/hello_server αν χρειαστεί στο μέλλον να βάλει εκεί κάτι

[service]
RuntimeDirectory=hello_server
#PIDFile=/run/hello_server/hello_server.pid

και με αυτήν την αλλαγή έχουμε

→ Overall exposure level for hello_server.service: 
6.7 MEDIUM 😐

Ας το περιορίσουμε λίγο ακόμα δίδοντας της ένα δικό της /tmp για προσωρινά αρχεία και περιορίζοντας την πρόσβαση αλλού εκτός από εκεί που πρέπει

PrivateTmp=yes
ProtectHome=yes

και

→ Overall exposure level for hello_server.service: 
6.2 MEDIUM 😐

3. Περιορίζοντας την πρόσβαση στις υπηρεσίες του kernel

Μια πονηρή υπηρεσία μπορεί να καλέσει ένα άλλο πρόγραμμα που να έχει το suid bit και να κάνει ότι θέλει…. ουπς!. Η να καλέσει την personality ή πονηρούλα. Αλλού αυτά!

ProtectSystem=strict
LockPersonality=true
NoNewPrivileges=true

→ Overall exposure level for hello_server.service: 5.8 MEDIUM 😐

Θα βάλουμε επιπλέον

SystemCallFilter=@system-service
SystemCallErrorNumber=EPERM

Ζήτω!! !Hip hip hooray!! Επιτέλους

→ Overall exposure level for hello_server.service: 
4.4 OK

Προσθέσαμε ένα έτοιμο φίλτρο του systemd που περιορίζει την πρόσβαση σε συνήθεις υπηρεσίες συστήματος που τυπικά χρησιμοποιεί ένα service. Ένα έτοιμο φίλτρο μπορεί να είναι είτε πολύ σφικτό είτε πολύ ελεύθερο. Σε ένα μελλοντικό άρθρο θα δούμε πως μπορούμε να βρούμε τι υπηρεσίες συστήματος χρησιμοποιεί ένα πρόγραμμα και να το περιορίσουμε στα απολύτως απαραίτητα.

4. Πρόσθετοι περιορισμοί

Ας περιορίσουμε τα namespaces που χρησιμοποιεί (θέλουμε μόνο το net) καθώς και κάποια άλλα πράγματα

RestrictNamespaces=~net
ProtectHostname=yes 
RestrictAddressFamilies=yes
ProtectKernelLogs=yes
ProtectKernelModules=yes
ProtectKernelTunables=yes
ProtectClock=yes
PrivateDevices=yes
RestrictSUIDSGID=true

Με αυτές τις αλλαγές

→ Overall exposure level for hello_server.service: 
2.6 OK

Το `systemd` ενισχύει την ασφάλεια του συστήματος

Πήραμε μια υπηρεσία μας και την κάναμε πολύ ποιο ασφαλή από ότι ήταν.

Όλα αυτά χωρίς να προσθέσουμε ούτε μια γραμμή κώδικα!. Πλέον μπορούμε να κοιμόμαστε λίγο ποιο ήσυχοι αν κάποιος βρει κάποιο κενό ασφαλείας σε αυτήν.

Μπορείς να τα κάνεις αυτά χωρίς το systemd; Αν έχεις πρόσβαση στον κώδικά και ξέρεις…. ναι, αλλά είναι πολύ ποιο δύσκολο. Μπορείς να τα κάνεις αυτά με κάποιο άλλο init σύστημα; Πιθανά να μπορείς αν ξέρεις και συνδυάσεις πολλά διαφορετικά εργαλεία.

Δεν γνωρίζω αν υπάρχει κάποια διανομή που να μην έχει systemd να είναι προσανατολισμένη σε server και που να έχει κάνει δώσει βάρος σε hardening, αλλά και να έχει τεκμηριώσει την διαδικασία. Αν υπάρχει γράψτε την στα σχόλια. Θα εκπλαγώ πολύ όμως αν έχει ένα εργαλείο σαν το systemd-analyze security και που να σε καθοδηγεί τόσο καλά.

Ο πυρήνας έχει πολλές δυνατότητες που ελάχιστοι τις χρησιμοποιούν. Κάνοντας τες εύκολα προσβάσιμες, είναι εύκολο να έχουμε ένα πολύ ποιο ασφαλές σύστημα. Οι διανομές που έχουμε είναι φτιαγμένες για γενική χρήση και δεν κάνουν χρήση όλων των δυνατοτήτων, συχνά για λόγους συμβατότητας, για λόγους τεμπελιάς ή άγνοιας ή γιατί θέλουν να υποστηρίξουν κάποιο άλλο σύστημα init. Άλλα η πικρή αλήθεια είναι πως αν μια διανομή ασφαλίσει πλήρως μια υπηρεσία θα υπάρχουν σενάρια χρήσης που δεν θα δουλεύει. Οπότε αφήνει αυτή την εργασία στους διαχειριστές που ξέρουν για την κάθε περίπτωση καλύτερα τι θέλουν και τι όχι. Ελπίζω αυτό να αποτελέσει ένα καλό ξεκίνημα αν έχεις κάποιο σύστημα να διαχειριστείς.

Πείτε μας στα σχόλια πως κάνατε Hardening μια άλλη υπηρεσία ή αν κάνατε αυτήν εδώ καλύτερα. Αν επεκτείνετε τις δυνατότητες του κώδικα ακόμα καλύτερα. Αν το κάνετε χωρίς την χρήση του systemd ακόμα καλύτερα.

Systemd | Για την σειρά των άρθρων

Εδώ και λίγες μέρες έβαλα στόχο να δω γιατί το systemd έχει προκαλέσει τόσο θόρυβο και αν είναι τόσο κακό όσο λένε. Σε άρθρα εδώ παρουσιάζω ότι καλό ή κακό βρίσκω χωρίς φανατισμούς και ιδεοληψίες.

Δείτε τα άρθρα για το systemd, καθώς και άλλες γνώμες, άλλων αρθρογράφων ακολουθώντας το tag:

Systemd Tutorials : https://cerebrux.net/tag/systemd-tutorials/

Παραπομπές:

‘Ο κώδικας της υπηρεσίας που ασφαλήσαμε:

use actix_web::{web, App, HttpRequest, HttpServer};
use listenfd::ListenFd;


async fn index(_req: HttpRequest) -> &'static str {
    "Welcome, my son,
Welcome to the machine.
Where have you been?
It's alright, we know where you've been"
}

#[actix_rt::main]
async fn main() -> std::io::Result<()> {


    let mut server = HttpServer::new(|| {
        App::new().service(web::resource("/").to(index))
    });

    // systemfd --no-pid -s http::2020 -- cargo watch -x run
    let mut listenfd = ListenFd::from_env();
    
    // Init Freedom
    server = match listenfd.take_tcp_listener(0)? {
        Some(listener) => server.listen(listener)?,
        None => server.bind("127.0.0.1:82")?,
    };

    server.run().await?;

    Ok(())
}

Οι εξαρτήσεις:

[dependencies]
actix-web = "2.0.0"
actix-rt = "1.1.1"
listenfd = "0.3.3"

2 σκέψεις σχετικά με το “Ασφάλεια στα άκρα | Hardening μιας υπηρεσίας με το systemd”

Προσθήκη σχολίου

Ο/Η Filippos Vasilakis (@vasilakisfil) λέει:

28-07-2020 στο 00:24

Πολύ ωραίο και πολύ χρήσιμο άθρο, μπράβο! Να αναφέρουμε οτι συγκεκριμένα για rust και debian derived διανομές υπάρχει το πολύ χρήσιμο cargo-deb (hello world σε systemd παράδειγμα https://github.com/vasilakisfil/hello.service).

Απάντηση
1. Ο/Η Filippos Vasilakis (@vasilakisfil) λέει:
  
  28-07-2020 στο 00:32
  
  το παράδειγμα βέβαια που έχω δεν έχει καμία σχέση με την ασφάλεια που παροτρείνει το άρθρο !! καιρός να το ανανεώσω :) απλά το δείχνω οτι λύνει τα χέρια γενικά, και μπορείς να κάνεις distribute ολόκληρο rust app με ένα .deb ;)