Proteja o servidor web e o banco de dados com mod_selinux e SEPostgreSQL Um muro para a Web

Transcrição

1 Proteja o servidor web e o banco de dados com mod_selinux e SEPostgreSQL Um muro para a Web REDES O módulo mod_selinux do Apache ajuda a tapar os buracos que vão além do controle do firewall. por Thorsten Scherf Aplicativos web são um vetor de ataque popular na invasão de sistemas (figura 1). Sistemas de firewall tradicionais não conseguem proteger contra ataques de injeção SQL e cross-site scripting, o que significa que um erro em um aplicativo web pode ter consequências fatais. Por um lado, os aplicativos web são extremamente dinâmicos e complexos; por outro lado, o desenvolvedor de um aplicativo web não pode adivinhar o futuro para antecipar e eliminar perigos em potencial antes que eles ocorram. ModSecurity O módulo ModSecurity do Apache [1], que usa regras para filtrar conteúdo suspeito nos dados recebidos, tornou-se uma ferramenta popular para impedir a entrada de intrusos. Pacotes de dados que não correspondem aos padrões permitidos são descartados. Essa abordagem consegue barrar uma grande porcentagem de pacotes maliciosos antes que cheguem ao aplicativo web, mas o que acontece com aqueles que conseguem passar? Sistemas que dependem de casamento de padrões detectam apenas os padrões conhecidos e, portanto, falham ao encontrar algo desconhecido. Além disso, uma vez que o intruso já tenha entrado, as possibilidades de estender o ataque são infinitas. Com relação ao sistema operacional, os administradores conseguem resolver esse problema com a introdução de um esquema MAC (Mandatory Access Control Controle Obrigatório de Acesso), que permite o ajuste das permissões empregadas a recursos específicos. Nos últimos 64

2 mod_selinux SEGURANÇA Site Outros 47% 33% 7% 53% 67% 93% Figura 1 A porcentagem de ataques de rede direcionados a servidores web aumenta a cada ano. (Fonte: Little Earth Corporation) anos, o SELinux estabeleceu-se como uma importante ferramenta para implantar MACs em ambientes de alta segurança, mas o problema é que o SE apenas restringe o acesso aos recursos do sistema. Os novos ataques concentram-se em servidores de aplicativos web e bancos de dados. O SEPostgreSQL (Security Enhanced PostgreSQL) [2] e o mod_selinux [3] ampliam a proteção oferecida pelo SELinux a objetos de bancos de dados e aplicativos web. Como funciona O SEPostgreSQL é uma extensão do popular sistema de banco de dados PostgreSQL que suporta a atribuição de um contexto de segurança SELinux a objetos individuais. Em um banco de dados PostgreSQL clássico, o usuário se conecta usando um nome de usuário e uma senha. Com isso, ele tem acesso a todos os objetos disponíveis para sua conta. Com o SEPostgreSQL, o socket do cliente recebe um contexto de segurança que pode ser de um usuário buscando acesso ou o contexto do processo que o está acessando. O administrador do SEPostgreSQL pode atribuir rótulos de segurança a tabelas individuais e a qualquer objeto que elas contenham e, por isso, as regras centralizadas do SELinux definem qual usuário ou processo pode ou não acessar cada um dos objetos do banco de dados. Como no caso típico do SELinux, dois controles de acesso devem ser negociados antes que o usuário ou o processo tenha acesso ao objeto solicitado. Primeiro, as credenciais são verificadas pelo sistema de autenticação do banco de dados; em um segundo passo, o sistema verifica se o rótulo de segurança do socket de acesso possui privilégios suficientes para o objeto requisitado. Esses dois testes precisam ser efetuados com sucesso para que o banco de dados sirva o objeto requisitado. O administrador do banco de dados também só pode acessar um objeto específico caso o administrador de segurança tenha dado autorização explícita a esse acesso por meio de uma regra do SELinux. Diferentemente de objetos de sistema tradicionais, tais como arquivos e diretórios, onde o contexto de segurança é armazenado em seus atributos, o SEPostgreSQL armazena o contexto de segurança de um objeto do banco de dados em um catálogo de sistema especial. Catálogos de sistema de bancos de dados relacio- Listagem 1: Arquivo /etc/httpd/conf.d/mod_selinux.conf 01 <Directory /var/www/html > 02 # HTTP Basic Authentication 03 AuthType Basic 04 AuthName Secret Zone 05 AuthUserFile /var/www/htpasswd 06 Require valid-user 07 </Directory> Listagem 2: Arquivo /etc/httpd/conf.d/mod_selinux.conf 01 ### O mod_selinux.conf pode acessar um 02 ### arquivo local para mapear usuários 03 ### a contextos de segurança selinuxdomainmap /var/www/mod_selinux.map 06 selinuxdomainval anon_webapp_t:s0 07 selinuxdomainenv SELINUX_DOMAIN Linux Magazine #63 Fevereiro de

3 SEGURANÇA mod_selinux Listagem 3: Arquivo /var/www/mod_selinux.map 01 foo *:s0:c0 02 bar *:s0:c1 03 _anonymous anon_webapp_t:s0 04 * user_webapp_t:s0 Listagem 4: Comando chcat 01 # chcat -L 02 s0 03 s0-s0:c0.c255 SystemLow-SystemHigh 04 s0:c0.c255 SystemHigh 05 s0:c1 Marketing 06 s0:c2 Payroll 07 s0:c3 IT chcat +IT /var/www/virtual/www1/index.html 10 ls -lz /var/www/virtual/www1/index.html 11 -rw-rw-r-- root apache root:object_r:httpd_sys_content_t:it /var /www/virtual/www1/index.html nais geralmente incluem dados de esquema e outras metainformações. O SEPostgreSQL introduz um outro catálogo intitulado sg_security e o usa para armazenar o mapeamento entre o contexto de segurança de um objeto e o OID (Object Identifier Identificador do Objeto) correspondente. Quando um novo objeto é criado no banco de dados, ele recebe um OID numérico. O próprio banco de dados faz a resolução do OID para uma string convencional necessária ao contexto de segurança. Módulo mod_selinux O módulo mod_selinux do Apache permite que o administrador inicie diferentes instâncias do servidor web com um contextos de segurança individuais em vez de usar o mesmo contexto para vários processos. O contexto de segurança designado a uma instância de um servidor web depende do usuário que a acessa. O método é semelhante ao login tradicional pelo shell. Após uma autenticação bem-sucedida pelo login ou ssh, o usuário do shell recebe um contexto de segurança. Com isso, ele pode trabalhar no sistema dentro das restrições de segurança desse contexto. Caso o usuário tente fazer algo que não seja permitido pelo contexto, o SELinux impedirá que isso aconteça. No caso do mod_selinux, é o Apache que age como agente ou proxy de um usuário. Se um usuário se conecta à sua conta, o processo do servidor web aplicará o contexto do usuário. Para ver os direitos concedidos a um processo, é possível consultar o servidor de segurança embutido no kernel para conferir os objetos que o usuário pode e não pode acessar. Quando o SEPostgreSQL é usado como back-end de um aplicativo web, os controles de acesso se estendem a objetos individuais dentro do banco de dados. Configuração do mod_selinux Antes de começar a configuração, é necessário instalar o pacote do mod_selinux, já presente nos repositórios da maioria das distribuições GNU/Linux; se sua distribuição não contém uma versão do módulo, é possível baixá-lo do repositório do Projeto Fedora [3]. Depois de terminar a instalação em um sistema Fedora 11, o arquivo mod_selinux.conf estará no diretório /etc/ httpd/conf.d. Contexto Após a instalação do mod_selinux, a próxima pergunta é: como os usuários receberão o contexto de segurança para um aplicativo web?. O mod_selinux pode atribuir um contexto de várias maneiras, todas descritas no seu arquivo de configuração. Em primeiro lugar, é preciso informar ao Apache qual o diretório ou local onde a autenticação do usuário é necessária. A listagem 1 mostra um exemplo de autenticação que utiliza um arquivo local com os nomes de usuários e hashes MD5 de suas senhas. Listagem 5: sesearch 01 # sesearch --allow -s user_webapp_t 02 Found 120 semantic av rules: 03 allow user_webapp_t public_content_t : file { ioctl read getattr lock open} ; 04 allow user_webapp_t public_content_t : dir { ioctl read getattr lock search open } ; 05 allow user_webapp_t public_content_t : lnk_file { read getattr } ; 06 allow user_webapp_t sysctl_kernel_t : file { ioctl read getattr lock open } ; 07 allow user_webapp_t sysctl_kernel_t : dir { ioctl read getattr lock search open } ;

4 mod_selinux SEGURANÇA O comando a seguir adiciona um usuário ao arquivo de senhas: # htpasswd -m /var/www/htpasswd foo A listagem 2 contém mais configurações. A instrução selinuxdomain- Map especifica um arquivo local que atribui um contexto de segurança para cada usuário; como alternativa, pode-se usar selinuxdomainval para estabelecer um contexto padrão. Um arquivo de mapeamento seria semelhante à listagem 3. Após a autenticação, os processos do servidor web para as duas requisições do usuário encontram-se no domínio do SELinux user_webapp_t, com a MLS (Multi-Level Security Segurança Multi-Nível) do SELinux com sensibilidade de nível s0 e categorias c0 (foo) e c1 (bar) na MCS (Multi-Category Security Segurança Multi-Categoria). O arquivo dá acesso a objetos que pertencem a essas categorias e que podem acessar o domínio user_webapp_t. As categorias MCS dos objetos de arquivos são determinadas pela ferramenta chcat (listagem 4). Se um usuário não estiver listado no arquivo de mapeamento, só poderá ter acesso por meio do domínio user_webapp_t, a menos que a categoria MCS esteja definida. A ferramenta sesearch informa se o acesso a objetos no domínio user_webapp_t é permitido (listagem 5). Essas regras são adicionadas à política do SELinux através do pacote mod_selinux. pp. Esse pacote é automaticamente carregado após a instalação do mod_ selinux, como confirma a chamada ao semodule: # semodule -l grep mod_selinux mod_selinux 2.2 Listagem 6: Tabela uaccount 01 # su sepgsql 02 # createdb web 03 # psql web web=# CREATE TABLE uaccount ( 07 web(# uname TEXT PRIMARY KEY, 08 web(# upass TEXT, 09 web(# udomain TEXT 10 web(# ); web=# INSERT INTO uaccount VALUES ( foo, pass, user_ webapp_t:s0:c0 ); 13 web=# INSERT INTO uaccount VALUES ( bar, pass, user_ webapp_t:s0:c1 ); Logicamente, é possível adicionar suas próprias regras à política, mas elas precisam estar reunidas em um pacote. Qualquer acesso não autenticado ao servidor web é roteado para o domínio anon_webapp_t do SELinux, como especificado no arquivo de mapeamento. Configurando o SEPostgreSQL Na autenticação de usuários em domínios maiores, é preferível armazenar os usuários em um banco de dados, principalmente se o sistema de banco de dados for necessário para hospedar seu aplicativo web. O exemplo a seguir usa o SEPostgreSQL como banco de dados. A vantagem é que o administrador pode mapear todos os objetos desse banco de dados para um contexto de segurança, o que não seria possível com outros sistemas de bancos relacionais. Na maioria das distribuições GNU/Linux, é possível usar o repositório de software padrão para a instalação; caso não seja possível, Listagem 7: Arquivo /etc/httpd/conf.d/mod_selinux.conf 01 LoadModule dbd_module modules/mod_dbd.so 02 LoadModule authn_dbd_module modules/mod_authn_dbd.so # Parâmetros para conexão ao banco de dados DBDriver pgsql 07 DBDParams dbname=web user=apache # Autenticação por digest <Directory /var/www/html > 12 AuthType Digest 13 AuthName Secret Zone 14 AuthDigestProvider dbd 15 AuthDBDUserRealmQuery \ 16 SELECT md5(uname : $2 : upass), udomain, \ 17 %s=%s as dummy FROM uaccount WHERE uname = $ # Mapeamento de contexto do SELinux selinuxdomainenv AUTHENTICATE_UDOMAIN 22 selinuxdomainval anon_webapp_t:s </Directory> Linux Magazine #63 Fevereiro de

5 SEGURANÇA mod_selinux o código-fonte está disponível no Google Code [4]. Após a instalação, é necessário inicializar o banco de dados com os comandos abaixo: # /etc/init.d/sepostgresql initdb # /etc/init.d/sepostgresql start O acesso administrativo ao banco é feito por meio de uma conta padrão (sepgsql) criada pelos comandos acima. Ela permite que o administrador crie um banco de dados inicial para Listagem 8: Contexto de Segurança para entradas de bancos de dados 01 # su sepgsql 02 # createdb footballdb 03 # psql footballdb 04 Welcome to psql 8.3.7, the PostgreSQL interactive terminal Type: \copyright for distribution terms 07 \h for help with SQL commands 08 \? for help with psql commands 09 \g or terminate with semicolon to execute query 10 \q to quit footballdb=# CREATE TABLE clubs ( 13 footballdb(# id integer primary key, 14 footballdb(# nome varchar(32), 15 footballdb(# ranking integer, 16 footballdb(# pontos integer 17 footballdb(# ); footballdb=# INSERT INTO clubs (id, nome, ranking, pontos) 20 footballdb-# VALUES (1, Manchester United, 1, 72); footballdb=# SELECT security_context, * FROM clubs; security_context id nome ranking pontos unconfined_u:object_r:sepgsql_table_t:s0 1 Manchester United (1 row) footballdb=# UPDATE clubs SET security_context = system_u:object_r:public_content_t:s0 WHERE nome= Manchester United ; footballdb=# SELECT security_context, * FROM clubs; security_context id nome ranking pontos system_u:object_r:public_content_t:s0 1 Manchester United (1 row) armazenar os objetos do usuário (listagem 6). Com isso, é possível usar o arquivo de configuração mod_selinux.conf para acessar esses objetos na autenticação de usuários pelo aplicativo web. O contexto de segurança correspondente a cada objeto usuário já existe no banco de dados, o que elimina a necessidade de mapeamento. Os comandos necessários para configurar o mod_selinux estão na listagem 7. Em primeiro lugar, é preciso carregar os módulos do Apache necessários para acessar o banco de dados. Depois, os próximos dois parâmetros especificam os nomes do driver e as credenciais exigidas para acessar o PostgreSQL. Esses parâmetros são seguidos da autenticação do usuário, onde a variável AUTHENTICATE_UDOMAIN é usada para passar os dados de autenticação para o mod_selinux. O usuário que não conseguir se conectar ainda pode usar o contexto de segurança anon_webapp_t como segunda opção. SEPostgreSQL com MAC Como exemplo, as seções a seguir descrevem a configuração do SELinux em um sistema gerenciador de banco de dados relacional usando SEPostgreSQL. A listagem 8 mostra o fluxo esquematizado. Em primeiro lugar, é necessário conectar-se ao SGBD com privilégios de administrador e criar um novo banco de dados footballdb, neste caso. Depois, use o aplicativo cliente Psql para se conectar ao banco de dados e criar uma nova tabela clubs neste exemplo. Em seguida, é adicionar uma única entrada à tabela. A primeira declaração SELECT gera essa entrada. Como se pode ver, já há um contexto de segurança. O tipo deste contexto de segurança padrão é sepgsql_table_t para o acesso a partir do domínio unconfined_t. Apenas uma declaração de atualização é necessária para mudar o contexto. O último comando SELECT verifica se a entrada possui agora um novo contexto de segurança. O contexto pode ser aplicado individualmente a colunas, assim como a registros no banco de dados (listagem 9). A listagem 9 mostra uma tabela com dados de funcionários; a ideia é aplicar o contexto de segurança sepgsql_secret_table_t a essa coluna. Os usuários comuns no domínio de usuários do SELinux não têm per- 68

6 mod_selinux SEGURANÇA missão para acessá-lo, como confirmam as duas declarações SELECT. O comando SELECT sepgsql_getcon() retorna o contexto de segurança do socket de acesso; neste caso, o domínio de usuário user_t. O último SELECT tenta acessar todas as colunas da tabela de funcionários. Isso causa um erro no SELinux, pois o acesso ao tipo de objeto de banco de dados sepgsql_secret_table_t não é permitido ao domínio user_t. As regras para isso foram acrescentadas ao pacote de políticas sepostgresql-devel.pp, que contém a regra global do SELinux para instalar o SEPostgreSQL. Assim como no mod_selinux, é possível acrescentar suas próprias regras. A página de manual do sepostgresql lista todos os tipos do SELinux suportados e suas respectivas permissões. Para decidir sobre o acesso a objetos no banco de dados, o SEPostgreS- QL sempre usa o contexto do socket utilizado pelo cliente para acessá-lo. Esse contexto pode ser o de segurança do processo usado para o acesso (por exemplo, httpd_t) ou o contexto do shell do usuário (user_t, por exemplo). O psql usa uma declaração SELECT sepgsql_getcon() para exibir o contexto do socket que o está acessando. Se o acesso for originado em um servidor Apache ou em outra máquina, em vez da máquina local, o SEPostgreS- QL obviamente enxergará somente o contexto do socket de rede usado para acessá-lo. Porém, o uso de rótulos na rede é uma solução elegante, pois suporta túneis IPSec arbitrários entre vários sistemas para estender o contexto de segurança de um processo além das fronteiras da rede. Conclusões Graças ao mod_selinux, agora é possível iniciar processos individuais do servidor web (ou threads individuais, para ser mais exato) com um contexto de segurança individual. Com isso, o administrador pode usar as regras do SELinux para definir os objetos Listagem 9: Contexto de segurança para colunas 01 foo=# CREATE TABLE employee ( 02 foo(# mid integer primary key, 03 foo(# mname varchar(32), 04 foo(# esalary varchar(32) CONTEXT = system_u:object_r:sepgsql _secret_table_t:s0 05 foo(# ); foo=# GRANT ALL ON employee TO PUBLIC; foo=# SELECT sepgsql_getcon(); 10 sepgsql_getcon user_u:user_r:user_t:s0 13 (1 row) foo=# SELECT * FROM employee; 16 ERROR: SELinux: denied { select } \ 17 scontext=user_u:user_r:user_t:s0 \ 18 tcontext=system_u:object_r:sepgsql_secret_table_t:s0 \ 19 tclass=db_column name=employee.esalary que têm permissão de acesso a essas threads individuais. Examinando mais atentamente a documentação, notase que há muitas outras aplicações para isso. Por exemplo, é possível usar o mod_selinux para iniciar hosts virtuais individuais do Apache com seus próprios contextos de segurança, ou definir um contexto com base no endereço IP da máquina que está acessando o servidor. O mod_selinux oferece uma abordagem mais granular do que nunca Mais informações [1] Módulo ModSecurity: Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: para acessar objetos do SELinux. Apesar do AppArmor oferecer uma solução similar, ele requer um servidor Apache especial, o que não acontece com o mod_selinux. E, caso o SEPostgreSQL seja usado como banco de dados, o controle obrigatório de acesso pode ser estendido aos objetos do banco de dados. Uma combinação dos dois sistemas promete grandes benefícios de segurança no uso de aplicativos web. n [2] SEPostgreSQL: [3] Pacote do mod_selinux para Fedora: [4] Download do SEPostgreSQL: Linux Magazine #63 Fevereiro de