книги хакеры / журнал хакер / 139_Optimized

ВыборрежимаработыSELinux

натождествопользователя, игнорируядругуюинформацию, например, оролипользователявсистеме, функциии уровнедоверияконкретнойпрограммыинеобходимостив целостностиданных. Каждаяучетнаязаписьимеетполную свободудействийвпределахсвоихполномочий.

Кактыпонимаешь, развернутьсясDAC особеннонегде: всеилиничего; винда— итадаетбольшевозможностейпо настройкедоступакобъектам. ПоэтомусегоднядляLinux доступнырешения, базирующиесянасовершеннодругой моделизащиты— MAC (Mandatory Access Control, прину-

дительныйконтрольдоступа). Онипозволяютопределить политикибезопасностинадвсемипроцессамииобъектами, решениеодоступепринимаетсянаосновебольшегоколичестваинформацииобобъекте, анетолькоосновываясьна тождествепользователя. ПричемMAC неотменяет, адополняетDAC, таккаксначалапроверяютсяправаUnix, и, если онизапрещаютдоступ, тодальнейшаяпроверкапростоне производится. Проверкаправвыполняетсятольковтом случае, еслистандартныеправаUnix разрешаютдоступк объекту. Любойобъектпомещаетсявнекуювиртуальнуюпесочницу, котораяпозволяетприложениювыполнятьтолько строгорегламентированныезадачи. Причемприописании доступакобъектуконкретныереализациимогутпридерживатьсяразныхпринципов: оченьстрогиеправилапотипу «чтонеразрешеноявно— запрещено» и«минимально необходимыепривилегии». Например, можнонастроить системутак, чтовеб-сервербудетслушатьсоединенияна строгоопределенномпорту, сможетчитатьфайлытолько вуказанномкаталогеитакдалее. Тоестьописатьповедениесистемывеенормальномсостоянии, создавжесткий каркас, закоторыйнельзябудетвыскочить. Этопозволяет выполнятьпрограммысправамиобычногопользователя, адоступкнеобходимымресурсамуказыватьприпомощи

политик. ВдистрибутивахLinux используютсядварешения: SELinux вRedHat иклонах, атакжеAppArmor вUbuntu.

Вядреверсии2.6.30 появилсякодещеодногопроекта— TOMOYO Linux (tomoyo.sf.jp), которомупророчатсветлое будущее, нопокапоумолчаниюоннигденеиспользуется. Давайрассмотримихособенности, атакжеплюсыиминусы.

СВЕРХЗАЩИЩЕННЫЙSELINUX

ПроектSELinux (Security Enhanced Linux, selinuxproject. org) зародилсявнедрахU.S. NSA (National Security Agency),

хмурыенеразговорчивыедядькикоторогопоставилисвоей цельюдопилитьLinux такимобразом, чтобыегоможнобыло спокойноиспользоватьнегде-нибудь, авправительственныхсистемах. Анонсированобщественностив2000 году, затемразработчикисправедливорешили: зачемчто-то делатьсамим, есливинтернетеестьмногожелающих? В

Проекты LIDS, GRSecurity и RSBAC

Кромепроектов, описанныхвстатье, внастоящеевремяразвиваютсяидругие, позволяющиеповыситьзащитуLinux-систем

— LIDS (Linux Intrusion Detection System, lids.org), GRSecurity (grsecurity.org) иRSBAC (Rule Set Based Access Control, www.rsbac. org). Краткооних.

ПроектLIDS реализуетMAC, админможетчеткоуказатьразрешениядляфайловикаталогов. ПомимоэтогомеханизмыTPE (Trusted Path Execution) иTDE (Trusted Domain Enforcement) позволяют убедиться, чтопрограммаработаеттак, какпредназначено. Сайт проектанекотороевремябылзаброшен, хотяинструментыразвиваются.

Управлениепроизводитсяприпомощиутилитичем-тонапоми- наетнастройкуправилфайера.

# lidsconf -A -o /sbin -j READONLY

GRSecurity — разработка, охватывающаянесколькотехнологийукреплениябезопасности— MAC/ACL, улучшенныйchroot, рандомизацияTCP ISN иPID, ролеваясистемаконтролядоступа RBAC, функцииаудита, защитаадресногопространстваистека PaX (доступениотдельно). Большинствопараметровуказывается наэтапесборкиядра, затемприпомощиутилитыgradm настраиваютсяACL.

ПроектRSBAC, реализующиймандатныйиролевоймеханизмы доступа, ужев2000 годувовсюиспользовалсявзащищенныхдистрибутивах. Посути, этосреда, позволяющаясоздатьразличные моделидоступа. ИдеяосновананапубликацииМаршалаАбрамса иЛаПадула«Обобщеннаясредадляуправлениядоступом» (GFAC, Generalized Framework for Access Control). Кромеroot вОСпояв-

ляетсяучеткаадминистраторабезопасности, которыйиуправляет доступомкинформации.

Реализовано много интересных функций: отключение Linux DAC, сокрытие процессов, JAIL, поддержка PaX, антивирусный интерфейс Dazuko, контроль ресурсов Linux и многое другое. Например, можно организовать доступ к файлу в определенные часы.

su неменяетидентификатораSELinux. Тоестьroot здесьневсевластен. Проверитьэтолегко:

$ id –Z user_u:user_t:unconfined_t

Получаемпривилегиисуперпользователяипроверяемснова:

$ su

# id –Z user_u:user_t:unconfined_t

Еслизайтисразуподрутом, торольдругая:

# id -Z root:system_r:unconfined_t:SystemLow-SystemHigh

Изменитьрольможноприпомощикомандыnewrole. ПрииспользованииSELinux штатныекомандывыводятиконтекст. Чтобыпросмотреть контекстфайловипроцессов, набираем:

#ls -l –context /

#ps -ax -Z

Крометого, контекстможносчитатьпрямоиз/proc:

СмотримактивныепрофилиипараметрыAppArmor

# ps aux | grep syslogd

root 2729 0.0 0.0 5908 624 ? Ss 07:30 0:00 syslogd -m 0

# cat /proc/2729/attr/current system_u:system_r:syslogd_t:s0

ПредусмотренаработаSELinux втрехрежимах— disable (отключен), enforcing (политикивыполняются, все, чтонесоответствует— блокируется), permissive (политикианализируются, всенарушениязаносятся вжурнал«avc: denied», ноблокировкинепроизводятся). Узнатьтекущий режимпросто, как, впрочем, инекоторыедругиенастройки, достаточно прочитатьданныеизпсевдофайловойсистемы/selinux:

$ cat /selinux/enforce

Еслиполучим1, значит, SELinux активирован. Чтобыизменитьрежим работыналету, простозаписываемвэтотфайл0 или1:

# echo 0 > /selinux/enforce

Такжеможновоспользоватьсяутилитой«setenforce [ Enforcing | Permissive | 1 | 0 ]».

Собственнонастройкипроизводятсявконфигурационныхфайлах, размещенныхвкаталоге/etc. Вдистрибутивах, базирующихсянаRedHat,

доступенграфическийSELinux Administration Tool (system-config- selinux, пакетpolicycoreutils-gui). Так, режимработыустанавливаетсяв файле/etc/sysconfig/selinux (насамомделеэтоссылкана/etc/selinux/ config). Вчастности, режимработыопределяетпараметрSELINUX:

SELINUX=enforcing|permissive|disabled

ПоумолчаниювбольшинстведистрибутивовSELinux защищаетневсе демоны, атолькострогоопределенные: dhcpd, httpd, named, nscd, ntpd, portmap, snmpd, squid иsyslogd. Дляостальныхполитиканеопределена— unconfined_t. Чтобызащититьвсюсистему, необходимоизменить значениеSELINUXTYPE наstrict:

SELINUXTYPE=targeted|strict

Вкаталоге/etc/selinux/targeted/contexts находимописаниеконтекстов. Например, дляroot контекстописываетсятак:

# cat /etc/selinux/targeted/contexts/users/root system_r:unconfined_t:s0 system_r:unconfined_t:s0

system_r:initrc_t:s0 system_r:unconfined_t:s0

ТипичнаяполитикаAppArmor

Сбиваем спесь со Skype

Наверное,большевсегопретензийсточкизрениябезопасностиу пользователявызываетSkype.Кудатольконелезетэтапрога(см.ста-

тьюКриса«Skype:скрытаяугроза», www.xakep.ru/post/38543/default. asp).Описываемыетехнологиикакразипозволяютобезопаситьсебя. Забегаявперед,скажу,чтопользователиужедавнонагенерировали профилидлябольшинствапопулярныхпрог,искайпздесьнеисклю-

чение.Смотри,например,здесь:www.cynapses.org/tmp/apparmor/ usr.bin.skype.Некоторыепрофилисобранывотдельномпакете— apparmor-profiles.

Нопрофильлегкосоздатьисамому.Дляэтоговкомплектеидетутилита aa-genprof(илипростоgenprof).Запускаемеесуказаниемисполняе- могофайлавкачествепараметра:

$ sudo aa-genprof /usr/bin/skype

Далееработаемкакобычно:звоним,отсылаемсообщения,принимаемфайлы,добавляемиудаляемучетки.Поокончаниипрерываем работувкаталоге/etc/apparmor.d/usr.bin.skype.Затемперезапускаем AppArmorилипростоактивируемпрофильвenforce-режиме:

$ sudo aa-enforce skype

ВсепроблемыизамечанияпоработепрофилейAppArmorищивлогах.

Чтобыпросмотретьвсеконтексты, связанныесhttpd, введитакую команду:

# grep -iR httpd /etc/selinux/targeted/contexts

Тыувидишь, чтодляразныхситуацийконтекстбудетотличаться. ТеперьполучимсписоквсехпараметровSELinux: «getsebool -a». Для установкииспользуйкомандуsetsebool (сключом'-P' длясохранения значенияпослеперезагрузки) илиграфическуюутилитуsystem-config- securitylevel.

Вывод«sestatus -v» покажетвсетекущиеустановки. Незабываемио журналах:

#dmesg | grep -i selinux SELinux: Initializing.

SELinux: Starting in permissive mode

#grep -iR selinux /var/log/messages

ВсевспомогательныеутилитыSELinux собранывнесколькихпаке-

тах: setools илиpolicycoreutils, policycoreutils-newrole. Первый, как правило, ужеустановленвсистеме, остальныхнет. Например, newrole, дающаявозможностьпользователюсменитьроль, доступнаименнов policycoreutils. Послеустановкивсистемеприсутствуюттольконаборы политикдляtargened, остальныенаборыполитикскачиваютсяв пакетахselinux-policy*. Сорцыполитикдляихсамостоятельнойсборки вынесенывselinux-policy-devel.

Разобратьсявболеечем200 файлах, имеющихнесколькотысячстрок, врукопашнуюоченьтрудно. Автоматизироватьэтузадачупризван питоновыйскриптaudit2allow (вpolicycoreutils), онгенерируетновые политикинаосновеанализажурналовиблокировокSELinux.

APPARMOR

ТехнологияApplication Armor изначальноразработанаImmunix Inc. Послетого, каксофтверныйгигантNovell приобрелэтукомпанию, кодоткрылиподлицензиейGNU GPL, азатемвключиливсостав openSUSE. ПозднееAppArmor сталдоступенивдругихдистрибутивах. НокогдакомандаImmunix покинулаNovell, дальнейшееразвитие проектаостановилось. ИхотявтомжеopenSUSE поддержкаAppArmor быласохранена, вдистрибутивинтегрировалиSELinux. Витогеначали разноситьсяслухиа-ля«AppArmor is dead», чтоуоднихвызвало радость, таккактеперьвсеусилияможноброситьнаразвитиеодной системызащиты, удругихкритику— отсутствиеконкуренцииещени кчемухорошемунеприводило. Сегодняапологетомэтойтехнологии

являетсяCanonical, разработчикикоторогонесмотряниначтопродолжаютразвитиеAppArmor. Так, впоследнихверсияхдобавленмеханизм кэшированияправил, чтопозволилоускоритьихзагрузку. Дляэтихже целей, ичтобызащититьсетевыесервисынараннемэтапезагрузки, частьпрофилейвынесливinitramfs. Иглавное— вUbuntu AppArmor

прикрутиликLSM (Linux Security Modules), задействовавsecurity_path

вместоvfs.

ОсновнаяидеяAppArmor состоитвтом, чтосистемазащитынедолжна бытьсложнойинедолжнамешать. ВотличиеотSELinux, AppArmor не используетрасширенныеатрибутыинезависитотфайловойсистемы. Доступкресурсамопределяетсянаосновепрофилей(profiles), которые привязаныкпутифайлаиликаталога, причемсамогофайламожетине бытьнамоментактивациипрофиля. Профильразрабатываетсяиндивидуальноподкаждоеприложение. Хотявэтоместьинедостаток: при переносефайлавSELinux занимполностьюсохраняетсяконтекстбезопасности, вAppArmor — нет, ноэтогоотнегоинетребовали. Хотя, если файлимеетдваимени, ипрофильблокируетдоступкодномуизних, естьвозможностьработатьсдругим. Этоследуетучитывать. Также, если средствамиSELinux можнопредусмотретьнесколькоуровнейдоступак объектудляразныхсубъектов, тоAppArmor этогонеумеет.

Внастоящеевремясозданыпрофилидлябольшинствапопулярных серверовиприложений, поэтомуналичиеактивногоAppArmor обычно незаметно, оннесоздаетпроблем. Крометого, вкомплектепоставки идутдваскриптаaa-genprof иaa-logprof, которыепомогутбыстросоздатьпрофильдляновойпрограммы. УправлениеAppArmor произво- дитсяприпомощиinit-скрипта, которыйзапускаетмодульядра, инициализируетпрофилиимонтируетпсевдофайловуюсистемуsecurityfs.

$ sudo /etc/init.d/apparmor start

Чтобыпросмотретьсписокзагруженныхпрофилей, достаточносчитать файл/sys/kernel/security/apparmor/profiles (илизапустить/etc/init.d/ apparmor status); взависимостиотвариантадистрибутиваServer/ Desktop количествоактивныхпрофилейбудетразлично. Самипрофили хранятсявфайлах(отдельнодлякаждогоприложения) вкаталоге/etc/ apparmor.d ивнутрисодержатописаниекаталоговиотдельныхфайлов, суказаниемправдоступа. Такжеуказываетсяработавсетиисовместимостьсдругимипрофилями. Дляупрощениязадачииспользуются регулярныевыражения. ПоумолчаниюпрофилиAppArmor работаютв принудительномenforce-режиме. Когдасервиснеможетвыйтизарамкиустановок, всепопыткиблокируютсяификсируютсявжурнале. При

UNIXOID

Завсевремясуществованиятолстыхпингвинов(период, отсчитываемыйпримерно смоментапоявленияGTK+ 2.X, X Free 4.X и Linux 2.6) былопридуманонемалоспособов ускорениязапускаприложенийивсейОС.

Некоторые из них уже давно успешно применяются в популярных дистрибутивах, другие до сих пор значатся экспериментальными. В этой статье мы посмотрим на них повнима-

тельнее и определим, насколько оправданным может быть их применение.

ПРЕДВАРИТЕЛЬНОЕ СВЯЗЫВАНИЕИЛИPRELINK

Пре-связываниеестьничтоиное, какмодификациязапускаемогофайласцельювключить внегорезультатыдинамическогосвязывания библиотек. Чтоэтозначит?

Встародавниевременаприложениябыли простыииспользоваливсвоейработевсего несколькодинамическизагружаемыхсистемныхбиблиотек. Тобыловремягосподстваформатаисполняемыхфайловa.out, особенность которыхзаключаласьвпредельнойпростоте. Файлыa.out всегдаточнознали, покакомуадресуонибудутзагруженывпамятьпроцесса, и покакимадресамбудутрасполагатьсяихвнут-

ренниефункции, константыит.д. Этаособенность, содной стороны, давалаимпреимуществовскоростизагрузки, ас другой— создавалапроблемысосуществованиябиблиотеквпамяти(что, еслидвебиблиотекибудутзагруженыв памятьпоодномуадресу?). Проблемынадобылорешать, поэтомупоявилсяформатELF (егосоздателинасамомделе былипоклонникамикнигТолкиена:)), которыйснималс исполняемыхфайловответственностьзавыборадреса своегоразмещенияввиртуальнойпамятииперекладывал еенадинамическийлинковщик. Отнынеадресазагрузки приложений, библиотекивсехихсимволов(переменных, констант, функцийт.д.) вычислялисьдинамическинаэтапе загрузки.

ELF позволилUNIX/Linux сделатьогромныйшагвпереди статьсистемой, способнойзагружатьиисполнятьогромноеколичествоприложений, слинкованныхстакимже количествомбиблиотек, безвсякихпроблем. Однакосточки зренияпроизводительностиэтобылпровал. Процедура динамическогосвязыванияоченьбыстра, ипризапуске приложений, зависящихвсегоотнесколькихбиблиотек, онаневноситвпроцессзаметныхзадержек, ноеслиэто запускгромоздкогоприложениясзависимостямипорядка 50 библиотек, тозадержкаможетбытьвесьмасущественной (вплотьдонесколькихдесятковсекунд).

Такназываемоепре-связываниенаделяетELF-файлынаи- болеевыгоднойчертойформатаa.out. Запускаемыефайлы модифицируютсятакимобразом, чтобыужевключатьвсебя результатдинамическогосвязыванияи, соответственно, заранеезнатьсобственныеадресавпамятипроцессаине тратитьнаихвычислениевремявтечениезапуска. Процедурапре-связываниябылапредложенасотрудником Red Hat Jakub Jelinek ещев2004 годуиоказаласьочень удачнымметодомповышенияскоростизапускаприложений. Согласнотестам, онаможетдатьприрост, равный50% отпервоначальнойскоростизапуска, авособотяжелых случаях(OpenOffice, KDE, Gnome) — итогобольше. Приэтом дляускорениясистемыдостаточнозапуститьвсегоодну командуинемногоподождать.

Да, задействоватьмеханизмпре-связываниядействитель- нопросто. ДляэтогоужеупомянутыйвышеJakub Jelinek написалпрограммуподназваниемprelink. Онадоступна практическивлюбомLinux-дистрибутиве, поэтомусобирать изисходниковничегонепридется. Простоустановипакеты prelink, используяпакетныйменеджердистрибутива, и выполниследующуюкоманду:

# prelink -avmR

UNIXOID

даствыигрыш, применьшихобъемахонтолькопомешает. Пакет preload можнонайтивсоставелюбогосовременногодистрибутива, поэтомудляегоустановкидостаточноиспользоватьстандартный

менеджерпакетов:

$ sudo apt-get install preload

Далееследуетотредактироватьконфигурационныйфайл/etc/preload. conf. Демонвполнесносноработаетипристандартныхнастройках, однакокаждыйизнасиндивидуаленииспользуетсистемупо-своему, поэтому, вероятно, тызахочешьподогнатьpreload подсебя. Перечислю основныеопциивсекцииmodel:

•cycle — частотаобращенийксистемедлясборастатистики. Значение поумолчанию— 20 секунд. Вбольшинствеслучаевизменятьегоне имеетсмысла, однакоеслитычувствуешь, чтоpreload вредитпроизводительностисистемы, увеличьзначение.

•halflife — задаетинтервал, поистечениюкоторогоpreload будет забыватьнакопленнуюстатистикуна50%. Значениепоумолчанию— 168 часов(неделя). Рекомендуетсяуменьшитьзначениетем, кточасто меняетсофт, иувеличитьтем, ктоможетмесяцами/годамипользоваться однимитемженаборомприложений.

•minsize — минимальный размер объекта (программы, библиотеки), обрабатываемого preload. Значение по умолчанию — 2 000 000 байт (около 2 Мб), поэтому preload не будет выполнять предварительную загрузку файлов меньшего размера. Нет особой нужды менять это значение, однако если тебе кажется, что памяти будет достаточно и для кэширования более мелких приложений — уменьши значение.

•memtotal,memfree,memcached — этитриопциивзаимосвязаныи указываютнапотребляемыйpreload объемпамяти. Длярасчетовиспользуетсяследующаяформула: (общееколичествопамятих memtotal) + (память, доступнаяпристартех memfree) + (кэшх memcached).

Секцияsystem такжесодержиттриинтересныхдлянасопции:

•mapprefix — списоккаталогов, файлыкоторыхдолжныбытьпредварительнозагружены(имейввиду, чтоэтонетолькобинарникиибиблиотеки, ноидругиетипыфайлов).

•exeprefix — списоккаталоговсбинарнымифайлами.

•sortstrategy—способоптимизацииоперацийввода-вывода.Значениепо умолчанию—3(оптимизациядляжесткихдисков).Длятвердотельныхдисков лучшевсегоподойдетзначение1,длясетевыхфайловыхсистем—2.

Наэтомвсе, можешьперезагрузитьpreload:

$ sudo /etc/init.d/preload reload

Какилюбойдругойдемон, preload ведетлоги, которыетысможешь найтивфайле/val/log/preload.log. Информацияотекущемсостоянии preload иегокэшедоступнавфайле/var/lib/preload/preload.state.

ПРЕДВАРИТЕЛЬНОЕ ЧТЕНИЕИЛИREADAHEAD

Ubuntu, атакженекоторыедругиесовременныедистрибутивыLinux, используютсистемуreadahead вовремяинициализациисистемы. Каки демонpreload, readahead заранеезагружаетнеобходимыекомпоненты приложенийвоперативнуюпамятьсцельюускоритьихзапуск. Разница заключаетсялишьвтом, чтоreadahead частичноработаетвнутриядра Linux иоптимизированспециальнодляускоренияпроцессаинициализациисистемы.

Системаиспользуетутилиту/sbin/readahead-list, котораячитаетфайлы

/etc/readahead/boot и/etc/readahead/desktop изагружаетперечислен-

ныевнихфайлывовремяинициализациисистемы. Этапростаяиэффективнаясхема, которая, однако, имеетиочевидныенедостатки. Дело втом, чтолюбаястандартнаяустановкаUbuntu современемпретерпеваетизменениявколичествеустановленныхизагружаемыхвовремя стартаОСсервисов. Спискифайловвэтомслучаестановятсянеактуальнымиитребуютобновления. Параметрядраprofile позволяетперестроитьспискипредварительнозагружаемыхфайлов. Дляеговключения

Сокращениескоростизапускаприиспользовании

Preload

перезагрузисистему, вовремязагрузкинажми<Esc> длявходавменю загрузчика, далеенажми<e> идобавьвконецспискапараметровядра словоprofile. Нажми<b> длязагрузки. Инициализациясистемыврежимепрофилированиязайметвремя, поэтомубудьготовпотерпеть.

ЗАМОРОЗКАПРОЦЕССАИЛИCRYOPID

Иногдалучшийспособускоритьзапускприложения— простонеостанавливатьего. Длямногихюниксоидовработающиесуткаминапролет браузер, почтовыйиjabber-клиенты— обычноедело. Такиеприложения простонетсмыслазавершать, онимогутпонадобитьсявлюбуюминуту. Такпочемубынеразвитьэтуидеюдальшеинесделатьтак, чтобывместо остановкипроцессовихсостояниеможнобылобызаморозить, апозже

— восстановить, избавивпрограммуотнеобходимостикаждыйраз производитьсложнуюитрудоемкуюинициализациювнутреннегосостояния? Немыпервые, немыпоследние. CryoPID — простоеприложение длязаморозкипроцессовипоследующегоихвосстановления. Прогане требуетправroot илимодификацииядра, работаетнаархитектурахx86 иamd64 и, чтосамоеглавное, непривязываетзамороженныйпроцесск конкретноймашине. Послезаморозкипроцесспревращаетсявочто-то вродесамораспаковывающегосяархива, тылегкоможешьперенести егонадругуюмашинуипростозапустить. ПакетCryoPID естьдалеконев каждомдистрибутиве, поэтомуегопридетсяустановитьсамостоятельно:

$ cd /tmp

$ wget http://dagobah.ucc.asn.au/wacky/cryopid-0.5.9.1- i386.tar.gz

$ tar -xzf cryopid-0.5.9.1-i386.tar.gz $ cd cryopid-0.5.9.1/src

$ make

$ mkdir ~/bin

$ cp freeze ~/bin

Послеэтогоможнозапуститьпрограммуследующимобразом:

$ ~/bin/freeze имя-файла pid-поцесса

Ксожалению, CryoPID имеетнесколькопроблем, включаянеполную поддержкусокетовиX-приложений, атакжегенерируетмусорвсписке процессоввместоименивосстановленнойпрограммы.

ШУСТРАЯЗАГРУЗКАUBUNTU

Ubuntu быстра, насамомделебыстра. Скоростьзагрузкиэтогодистрибутиваоставляетдалекопозадимногиедругиелинуксыизаставляетзави- доватьпоклонниковBSD-систем. Однаконетпределовсовершенству, и вэтомразделемыпопробуемускоритьускоренное.