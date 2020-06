Nginx s rootem

Nginx má po startu ve výchozím stavu v paměti několik procesů. Hlavní proces (master) se spouští s právy uživatele root a spouští si větší množství pracovních procesů (worker) pod zvoleným běžným uživatelem. Ty se starají o samotné zpracování požadavků podle konfigurace a nepotřebují žádná speciální oprávnění.

Hlavní proces ale potřebuje vysoká oprávnění, protože kromě zpracovávání konfigurace a spouštění dalších procesů potřebuje především otevírat TCP porty nižší než 1024. Obvykle to jsou ty webové, tedy 80 a 443. To ovšem v Linuxu může dělat jen root.

Zároveň ale platí, že s vysokými oprávněními by mělo v systému běžet co nejméně procesů. Je to doporučení velmi rozumné, protože v případě úspěšné kompromitace pak nemusí dojít k tak velkým škodám, jako v případě privilegované aplikace.

Nginx bez roota

Linux už ovšem velmi dlouhou dobu nabízí funkci capabilities, což bychom mohli česky přeložit jako schopnosti. Ty umožňují silná oprávnění roota dělit do malých skupin a přidělit tedy procesu třeba jen jedno privilegium. Takový proces pak nemá veškerá božská práva roota, ale jen jednu přesně vybranou schopnost.

Tohle se nám hodí například u našeho web serveru, kterému můžeme přidělit schopnost CAP_NET_BIND_SERVICE , u které manuálová stránka uvádí: Bind a socket to Internet domain privileged ports (port numbers less than 1024). Tohle přesně potřebujeme.

Stačí tedy jen správně nakonfigurovat init systém, aby zaváděl webový server pod běžným uživatelem a přidal mu tohle potřebné oprávnění navíc. Podobný postup bude pochopitelně možné využít i u jiných služeb, které se chovají podobně a roota vyžadují jen kvůli otevření portů.

Konfigurujeme službu

Moderní distribuce používají systemd, který je na podobné kousky velmi dobře vybaven. Nejprve si tedy zkopírujeme standardně dodávaný unit soubor na místo určené pro naše lokální úpravy.

# cp /lib/systemd/system/nginx.service /etc/systemd/system/

Poté už jej budeme vždy editovat v novém umístění v /etc/ , kde nehrozí přepsání balíčkovacím systémem při aktualizaci. V sekci [Service] doplníme informaci o tom, pod jakým uživatelem a skupinou má hlavní proces Nginx běžet:

User=www-data Group=www-data

Tahle jednoduchá změna zajistí běh pod neprivilegovaným uživatelem. Dále mu musíme přidělit zmíněnou schopnost, která dovolí otevření nízkých portů.

AmbientCapabilities=CAP_NET_BIND_SERVICE