Έλεγχος ασφάλειας με το systemd-analyze

Μαζί με το systemd έρχεται και ένα εργαλείο για τον έλεγχο της ασφάλειας των units μας. Στον σύντομο αυτόν οδηγό θα δούμε τι ακριβώς ελέγχει και πως μπορούμε να το χρησιμοποιήσουμε.

Εκτέλεση

Θα το τρέξουμε με την εντολή

systemd-analyze security

image972×719 119 KB

Ας σηκώσει το χέρι όποιος δεν τρόμαξε με την εικόνα. Θα πρέπει να κάνουμε scroll για να βρούμε μια υπηρεσία που να είναι ασφαλής. Αν υπάρχει κάτι θετικό να λεχθεί είναι ότι τουλάχιστον χρησιμοποιεί emojis .

Αλλά μια στιγμή: Πως είναι δυνατόν υπηρεσίες όπως το ligghtdm να είναι τόσο ανασφαλείς; Το ίδιο εργαλείο μπορεί να μας εξηγήσει πως έφτασε σε αυτό το συμπέρασμα.

systemd-analyze security lightdm.service

image1220×649 130 KB

Το εργαλείο απλά ελέγχει αν μια υπηρεσία κάνει χρήση των μηχανισμών ασφάλειας και απομόνωσης που παρέχει ο kernel με την βοήθεια του systemd. Για κάθε τι που δεν κάνει χρήση υπάρχει μια βαθμολογία και αν το σύνολο αυτό υπερβεί έναν αριθμό θα πάρει η υπηρεσία και το αντίστοιχο emoji. Και το lightdm έχει πρόσβαση στο δίκτυο, έχει πρόσβαση στα αρχεία του χρήστη, απαράδεκτα πράγματα! Ναι αλλά αυτά πρέπει να κάνει μια υπηρεσία σαν το lightdm!

Είναι λοιπόν το εργαλείο αυτό άχρηστο και απλά μας τρόμαξε χωρίς λόγο; Κάθε άλλο, αλλά δεν είμαστε εμείς αυτοί που θα το χρησιμοποιήσουμε, αλλά οι προγραμματιστές που φτιάχνουν τις υπηρεσίες ή που τις ενσωματώνουν στο systemd. Αυτοί μπορούν να κρίνουν αν χρειαστεί να σκεφτούν “Χμμ μήπως θα πρέπει να χρησιμοποιήσω αυτή την δυνατότητα, ώστε να κάνω το σύστημα μου ποιο ασφαλές;”

Κάνοντας ασφαλή μια υπηρεσία

Σοβαρά τώρα; Πως μπορεί να το πει αυτό κανείς μέσα σε ένα σύντομο άρθρο; Ακόμα και αν γνωρίζει να το κάνει; Κάτι που ποτέ δεν ισχυρίστηκα . Υπάρχουν τα man pages, υπάρχουν βιβλία, υπάρχουν ομιλίες για να κάνεις Hardening το πρόγραμμα που γράφεις. Συχνά με λίγη προσπάθεια, απλά προσθέτοντας κάποιες γραμμές στο unit file, ή υπηρεσία μπορεί να γίνει πολύ ποιο ασφαλής κάτι που κάνει αυτές τις αναφορές ανεκτίμητες.

https://twitter.com/pid_eins/status/1098515746970370049?lang=en

Προς θεού μην πας στο github στην σελίδα κάποιου και του πεις πως το πρόγραμμα του είναι για τα μπάζα, παραθέτοντας μια τέτοια αναφορά. Το μόνο που θα κάνεις είναι να γελοιοποιηθείς.

Για την σειρά των άρθρων

Εδώ και λίγες μέρες έβαλα στόχο να δω γιατί το systemd έχει προκαλέσει τόσο θόρυβο και αν είναι τόσο κακό όσο λένε. Σε άρθρα εδώ παρουσιάζω ότι καλό ή κακό βρίσκω χωρίς φανατισμούς και ιδεοληψίες. Δείτε τα άρθρα για το systemd, καθώς και άλλες γνώμες (αν υπάρξουν), ακολουθώντας το tag: Νήματα με ετικέτες systemd.

Διαβάστε:

• Arch package guidelines/Security - ArchWiki
• https://www.freedesktop.org/software/systemd/man/systemd.exec.htm
• systemd service sandboxing and security hardening 101 | Ctrl blog
• Limit the impact of a security intrusion with systemd directives | Ctrl blog

Καλύπτει άραγε τέτοια πιθανότητα?