Hallo Leute,
ich habe auf meinem Webserver apparmor laufen, um Apachezugriffe sicherheitstechnisch einzuschränken. Fast alles läuft prima, nur beim ausführen von binaries würde ich das gerne etwas feinkörniger haben. Meine grundsätzliche Sorge ist, dass binaries, die root gehören und über das suid bit verfügen, per http aufgerufen werden und dann Schaden machen. Ich hab das nachgestellt und grundsätzlich klappt das leider auch. Ich kann dann als root über den http-Zugriff allen möglichen Schaden anrichten oder Dateien auslesen die mich nichts angehen.
Momentan schränke ich das so ein: owner /pfad/zu-den/htdocs/** ix,
Ich lasse also ausführen, aber nur wenn zugreifender Prozess und Datei den gleichen Owner haben. Das funktioniert und verhindert grundsätzlich das Problem. Dies ist mir aber zu scharf, es kommt schon mal vor dass die Datei die ausgeführt werden soll nicht dem Webserverprozess gehört sondern anderen legitimen Usern. Das wird dann auch verhindert, obwohl es ein fall ist den ich zulassen möchte. Ich würde das daher gern feinkörniger einstellen, z.B. speziell auf das suid bit bezogen oder als negative Angabe z.B.: nur ausführen was nicht root+suid bit gehört. Leider finde ich dazu nichts passendes. Gibts hier spezielle apparmor Einstellungen die ich treffen kann? Andere Möglichkeit wäre vielleicht so eine Art Sicherheitspatch direkt im Apache, der das ausführen von root gehörenden Dateien mit suid Bit verhindert. Habt Ihr einen Tipp?
Danke, Hans