Nội dung
Từ phiên bản DirectAdmin 1.61.0 trở đi có hỗ trợ jailed shell và jailed cron để giới hạn quyền user Directadmin. Để sử dụng jailed shell và jailed cron cần có BubbleWrap, nó sẽ giúp tạo thêm 1 lớp bảo vệ và hạn chế quyền cho user trên Linux server
Giới thiệu
BubbleWrap là chạy ứng dụng như trong sandbox,docker,… đã được thiết lập hạn chế quyền truy cập hệ thống hoặc dữ liệu người dùng
BubbleWrap hoạt động bằng cách tạo ra một không gian mới hoàn toàn, nằm trong vùng nhớ tạm và được ẩn đi (invisible from the host), và sẽ được tự động xóa khi thoát chương trình (process) cuối cùng.
Dùng BubbleWrap có thể chỉ định chính xác những phần nào của hệ thống tệp (filesystem) sẽ được hiển thị trong sandbox.
BubbleWrap không cho phép nâng cấp quyền (privilege).
Các ứng dụng hoạt động không được cấp quyền (leo thang), ngay cả khi được sử dụng kết hợp với phần mềm độc quyền được cài đặt trên bản OS đi kèm theo.
Các bước settup giới hạn quyền user Directadmin
Ở hướng dẫn bài mình cài giới hạn quyền user Directadmin trên centons 7
Bước 1: Build bubblewrap
Bạn hãy truy cập vào DirectAdminn và di chuyển vào custombuild
. Bạn hãy copy các lệnh bên dưới với quyền của user root.
cd /usr/local/directadmin/custombuild ./build update ./build bubblewrap
Bước 2: Build jailshell
Tương tự bạn hãy copy các lệnh bên dưới để thực hiện build jailshell.
cd /usr/local/directadmin/custombuild ./build jailshell
Bước 3: Bật chức năng giới hạn quyền user Directadmin
DirectAdmin sẽ tạo giá trị mặc định “jail” (set to 0 by default). Để set giá trị thành 1 để bật chức năng giới hạn quyền user cho directadmin
/usr/local/directadmin/directadmin set jail 1 restart service directadmin restart
Hoặc các bạn có thể truy cập vào trực tiếp vào file user.conf
của mỗi user để edit jail=ON/OFF /users/namnhh/user.conf
Để có thể enable hoặc disable thông giao diện quản lý giới hạn quyền user Directadmin vào phần modify account để thực hiện
/usr/local/directadmin/directadmin set jail 1 restart ## Lưu ý khi set giá trị bằng 1 thì các user không áp dụng hết cần phải tick chọn hoặc làm bằng thủ công như hướng dẫn
Để bật cho tất cả các user (Force) giới hạn quyền user Directadmin bạn set jail bằng 2.
/usr/local/directadmin/directadmin set jail 2 restart service directadmin restart
Mình vào phần modify account sẽ thấy có sự khác biệt giữa hai giá trị khi set 1 và 2
Bước 4: Kiểm tra lại user khi đã bật ssh access và jail
Để kiểm tra truy cập vào file /etc/passwd
sẽ thấy rõ khi bật giới hạn quyền user directadmin
cat /etc/passwd | grep namnhh cat /etc/passwd | grep jailshell Hoặc dùng câu lệnh bên dưới grep -e "namnhh" -e "jailshell" /etc/passwd
Sau khi bạn kiểm tra được user của mình như hình trên đã cấu hình giới hạn quyền user cho Directadmin thành công rồi nhé.
Tổng kết
Giới hạn quyền user Directadmin là 1 biện pháp bảo mật để hạn chế user khi cho user dùng ssh trong server
User bị hạn chế quyền (jailed users) không thể truy cập vào home directory của users khác.
jailed user vẫn có thể run tất cả các lệnh cần thiết từ shell chính trên user của mình.
Qua bài viết này giúp ích cho các bạn bảo mật được server tốt hơn khi các tấn từ shell lây nhiễm sang các user khác.
Xem thêm các bài viết hữu ích về DirectAdmin tại đường dẫn sau:
Nếu các bạn cần hỗ trợ các bạn có thể liên hệ bộ phận hỗ trợ theo các cách bên dưới:
- Hotline 247: 028 888 24768 (Ext 0)
- Ticket/Email: Bạn dùng email đăng ký dịch vụ gửi trực tiếp về: support@azdigi.com.
- Website AZDIGI: https://azdigi.com/