Hướng dẫn cấu hình Giới hạn quyền user Directadmin 1.6

Từ phiên bản DirectAdmin 1.61.0 trở đi có hỗ trợ jailed shell và jailed cron để giới hạn quyền user Directadmin. Để sử dụng jailed shell và jailed cron cần có BubbleWrap, nó sẽ giúp tạo thêm 1 lớp bảo vệ và hạn chế quyền cho user trên Linux server

Giới thiệu

BubbleWrap là chạy ứng dụng như trong sandbox,docker,… đã được thiết lập hạn chế quyền truy cập hệ thống hoặc dữ liệu người dùng

BubbleWrap hoạt động bằng cách tạo ra một không gian mới hoàn toàn, nằm trong vùng nhớ tạm và được ẩn đi (invisible from the host), và sẽ được tự động xóa khi thoát chương trình (process) cuối cùng.

Dùng BubbleWrap có thể chỉ định chính xác những phần nào của hệ thống tệp (filesystem) sẽ được hiển thị trong sandbox.
BubbleWrap không cho phép nâng cấp quyền (privilege).

Các ứng dụng hoạt động không được cấp quyền (leo thang), ngay cả khi được sử dụng kết hợp với phần mềm độc quyền được cài đặt trên bản OS đi kèm theo.

Các bước settup giới hạn quyền user Directadmin

Ở hướng dẫn bài mình cài giới hạn quyền user Directadmin trên centons 7

Bước 1: Build bubblewrap

Bạn hãy truy cập vào DirectAdminn và di chuyển vào custombuild. Bạn hãy copy các lệnh bên dưới với quyền của user root.

cd /usr/local/directadmin/custombuild
./build update
./build bubblewrap
    

Bước 2: Build jailshell

Tương tự bạn hãy copy các lệnh bên dưới để thực hiện build jailshell.

cd /usr/local/directadmin/custombuild
./build jailshell
    

Bước 3: Bật chức năng giới hạn quyền user Directadmin

DirectAdmin sẽ tạo giá trị mặc định “jail” (set to 0 by default). Để set giá trị thành 1 để bật chức năng giới hạn quyền user cho directadmin

/usr/local/directadmin/directadmin set jail 1 restart
service directadmin restart
    

Hoặc các bạn có thể truy cập vào trực tiếp vào file user.conf của mỗi user để edit jail=ON/OFF /users/namnhh/user.conf

Để có thể enable hoặc disable thông giao diện quản lý giới hạn quyền user Directadmin vào phần modify account để thực hiện

/usr/local/directadmin/directadmin set jail 1 restart
## Lưu ý khi set giá trị bằng 1 thì các user không áp dụng hết cần phải tick chọn hoặc làm bằng thủ công như hướng dẫn
    

Để bật cho tất cả các user (Force) giới hạn quyền user Directadmin bạn set jail bằng 2.

/usr/local/directadmin/directadmin set jail 2 restart
service directadmin restart
    

Mình vào phần modify account sẽ thấy có sự khác biệt giữa hai giá trị khi set 1 và 2

Bước 4: Kiểm tra lại user khi đã bật ssh access và jail

Để kiểm tra truy cập vào file /etc/passwd sẽ thấy rõ khi bật giới hạn quyền user directadmin

cat /etc/passwd | grep namnhh
cat /etc/passwd | grep jailshell
Hoặc dùng câu lệnh bên dưới
grep -e "namnhh"  -e  "jailshell" /etc/passwd
    

Sau khi bạn kiểm tra được user của mình như hình trên đã cấu hình giới hạn quyền user cho Directadmin thành công rồi nhé.

Tổng kết

Giới hạn quyền user Directadmin là 1 biện pháp bảo mật để hạn chế user khi cho user dùng ssh trong server
User bị hạn chế quyền (jailed users) không thể truy cập vào home directory của users khác.
jailed user vẫn có thể run tất cả các lệnh cần thiết từ shell chính trên user của mình.

Qua bài viết này giúp ích cho các bạn bảo mật được server tốt hơn khi các tấn từ shell lây nhiễm sang các user khác.

Xem thêm các bài viết hữu ích về DirectAdmin tại đường dẫn sau:

• Tổng hợp hướng dẫn sử dụng DirectAdmin.

Nếu các bạn cần hỗ trợ các bạn có thể liên hệ bộ phận hỗ trợ theo các cách bên dưới:

• Hotline: 0569 395 495
• Email: support@partner.com.vn.