ตัวอย่างความปลอดภัยของ SELinux ในชีวิตจริง


11

ทุกคนสามารถให้ตัวอย่างชีวิตจริงของที่ SELinux บันทึกเบคอนความปลอดภัยได้หรือไม่ (หรือ AppArmour หากคุณต้องการ) หากไม่ใช่ของคุณตัวชี้ไปยังคนที่มีประสบการณ์ที่น่าเชื่อถือ?

ไม่ใช่การทดสอบในห้องปฏิบัติการไม่ใช่กระดาษสีขาวไม่ใช่วิธีปฏิบัติที่ดีที่สุดไม่ใช่คำแนะนำ CERT แต่เป็นตัวอย่างจริงบางอย่างเช่น audit2 เมื่อแสดงความพยายามแฮ็คจริง ๆ หยุดทำงานในเส้นทางของมันหรือไม่

(หากคุณไม่มีตัวอย่างโปรดเก็บความเห็นไว้ในความคิดเห็นแทนคำตอบ)

ขอบคุณ!


มีเงื่อนไขในคำถามนี้ที่ตอบยาก ปัญหาคือเมื่อระบบไม่ได้รับอันตรายพวกเขาจะไม่ทำข่าว พวกเขาทำข่าวเมื่อพวกเขาถูกบุกรุก ดังนั้นมีข่าวเกี่ยวกับระบบ CentOS ที่ถูกบุกรุกจำนวนมากซึ่งถูกบุกรุกอย่างแน่นอนเพราะผู้ดูแลระบบของพวกเขาปิดการใช้งาน SELinux เพราะพวกเขาไม่ต้องการรบกวนการเรียนรู้วิธีกำหนดค่าและบำรุงรักษา หากพวกเขาไม่ได้ปิดการใช้งาน SELinux พวกเขาจะไม่ถูกบุกรุก
Juliano

ขอบคุณ แต่ฉันไม่ได้มองหาข่าวมากเท่าประสบการณ์ส่วนตัวที่แท้จริง
kmarsh

คำตอบ:


5

แล้วเรื่องนี้จากRussell Cokerล่ะ? มันเป็นตัวอย่างในชีวิตจริงที่เขาเชิญทุกคนบนเครื่องของเขาในฐานะรูท ฉันคิดว่านี่เป็นถั่ว แต่จากนั้นคุณก็ตระหนักถึงพลังของ SELinux ที่จะทำให้การรูตค่อนข้างไร้ประโยชน์

นี่คือตัวอย่างชีวิตจริงจากเว็บไซต์ของเขา


1
น่าสนใจ ในลิงค์แรกเขาให้การเข้าถึงรูท แต่ (ฉันเดา) ล็อคไว้กับ SELinux ส่วนใหญ่อะไรก็ตามที่รูทสามารถทำได้ ในขณะที่นี่เป็นคอมพิวเตอร์จริงมันมีคุณสมบัติสำหรับชีวิตจริงเท่านั้นในลักษณะเดียวกับรายการทีวีจริง SysAdmins จะติดตั้งเครื่องด้วยวิธีนี้กี่อัน? ลิงค์ที่สองคือสิ่งที่ฉันกำลังมองหา ฉันจะดูพวกเขามากกว่า ขอบคุณ!
kmarsh

4

SELinux ไม่จำเป็นต้องเกี่ยวกับการป้องกันจากแฮกเกอร์ มันเกี่ยวกับการจัดทำเอกสารและการบังคับใช้นโยบายว่าระบบทำงานอย่างไร มันเป็นเครื่องมือในกล่องเครื่องมือที่มีค่า แต่ต้องใช้ทักษะในการใช้งานอย่างดี

ตัวอย่างชีวิตจริงของวิธีที่ช่วยให้คุณมีลักษณะดังนี้:

ช่องโหว่ใน FTP daemon อนุญาตให้ผู้ใช้ที่ไม่ระบุตัวตนได้รับสิทธิ์การใช้งานรูท ผู้โจมตีใช้ช่องโหว่ดังกล่าวเพื่อเข้าถึงโฮมไดเร็กตอรี่ของผู้ใช้และขโมยคีย์ส่วนตัว SSH ซึ่งบางอันไม่มีรหัสผ่าน


หากกำหนดค่า SELinux เพื่อไม่อนุญาตนโยบาย "อนุญาตให้บริการ ftp อ่านและเขียนไฟล์ในไดเรกทอรีบ้านของผู้ใช้" การหาประโยชน์จะไม่สำเร็จและการละเมิดนโยบายจะถูกบันทึกไว้


2
นี่ไม่ใช่ตัวอย่างชีวิตจริงมันเป็นตัวอย่างของตัวอย่างชีวิตจริงที่อาจมีหน้าตา มันเป็นตัวอย่างชีวิตจริงสมมุติ ซึ่ง OP ไม่ได้ขอ
Jürgen A. Erhard

3

นี่คือรายละเอียดบทความของการโจมตีที่ SELinux หยุดในแทร็กพร้อมรายละเอียดบันทึกและคำอธิบายเกี่ยวกับเทคนิคทางนิติเวชที่ใช้ ฉันได้รับบทความนี้ตีพิมพ์ใน Linux Journal:

http://www.linuxjournal.com/article/9176

นี่คือข้อความที่ตัดตอนมาจากจุดเริ่มต้น:

หากคุณใช้งานเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตในที่สุดคุณจะต้องเผชิญกับการโจมตีที่ประสบความสำเร็จ ปีที่แล้วฉันค้นพบว่าแม้จะมีการป้องกันแบบหลายเลย์เอาต์ในเว็บเซิร์ฟเวอร์ทดสอบ (เป้าหมาย) ผู้โจมตีก็สามารถใช้ประโยชน์จากความพยายามในการเข้าถึงที่ประสบความสำเร็จบางส่วน เซิร์ฟเวอร์นี้ใช้ Red Hat Enterprise Linux 4 (RHEL 4) และระบบจัดการเนื้อหา Mambo มันมีการป้องกันหลายอย่างในสถานที่รวมถึง Security-Enhanced Linux (SELinux) SELinux ป้องกันผู้โจมตีจากการดำเนินการขั้นที่สองของการโจมตีอาจป้องกันการประนีประนอมราก

บทความนี้นำเสนอกรณีศึกษาเกี่ยวกับการตอบสนองของการบุกรุกอธิบายว่าฉันค้นพบการบุกรุกได้อย่างไรขั้นตอนใดที่ฉันใช้เพื่อระบุการหาประโยชน์จากวิธีการกู้คืนจากการโจมตีและบทเรียนที่ฉันเรียนรู้เกี่ยวกับความปลอดภัยของระบบ ฉันเปลี่ยนชื่อเครื่องและที่อยู่ IP ด้วยเหตุผลความเป็นส่วนตัว

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.