Приклад безпеки SELinux у реальному житті?

11

Чи може хтось навести приклад із реального життя, де SELinux врятував свій бекон безпеки? (або AppArmour, якщо бажаєте). Якщо не ваш власний, то вказівник на когось із надійним досвідом?

Не лабораторний тест, не білий папір, не найкраща практика, не консультація CERT, а реальний приклад, щось на зразок audit2, чому показ реальних спроб злому зупинився на його слідах?

(Якщо у вас немає прикладу, будь ласка, залишайте коментарі в коментарях замість відповідей.)

Спасибі!

linux security selinux

— кмарш
джерело

У цьому питанні є умова, на яку важко відповісти. Проблема полягає в тому, що коли системи не порушені, вони не роблять новин. Вони повідомляють новину лише тоді, коли їх скомпрометовано. Отже, є новини про безліч компрометованих систем CentOS, які були поставлені під загрозу саме тому, що їх адміністратори відключили SELinux, тому що вони не хочуть заважати навчатися їх налаштуванням і підтримці. Якби вони не відключили SELinux, вони не були б порушені.

— Джуліано

Дякую, але я не шукав новин так сильно, як власне особистий досвід.

— kmarsh

5

Як щодо цього від Рассела Кокера ? Це приклад із реального життя, оскільки він запросив усіх на свою машину як корінь. На перший погляд я подумав, що це гайки, але потім ти розумієш силу SELinux зробити корінь дещо марним.

Ось кілька прикладів із реального життя з його сайту.

— кейтосу
джерело

1

Цікаво. У першому посиланні він надає кореневий доступ, але (я думаю) блокується за допомогою SELinux більшості всього, що зазвичай може зробити. Хоча це справжній комп’ютер, він підходить до реального життя лише так, як це робить реаліті-телешоу. Скільки SysAdmins налаштували машину таким чином? Друга ланка - це більше те, що я шукаю. Я їх перегляну. Спасибі!

— kmarsh

4

SELinux не обов'язково стосується захисту від хакерів; йдеться про документування та виконання політики щодо того, як поводиться система. Це цінний засіб в наборі інструментів, але він вимагає навичок, щоб добре використовувати.

Приклад із реального життя, як це рятує вас, є приблизно таким:

Уразливість демона FTP дозволяє анонімному користувачеві отримати root-права. Зловмисник використовує цю вразливість для доступу до домашніх каталогів користувачів та викрадення приватних ключів SSH, у деяких з яких немає парольної фрази.

Якщо SELinux налаштований на заборону політики "Дозволити службам ftp читати та записувати файли в домашніх каталогах користувачів", експлуатація не буде успішною, а порушення політики буде зареєстровано.

— duffbeer703
джерело

2

Це не приклад із реального життя, це приклад того, як може виглядати приклад із реального життя. Це гіпотетичний приклад із реального життя. Чого ОП не просила.

— Юрген А. Ерхард

3

Ось детальне написання атаки, яку SELinux зупинив у своїх слідах, із деталями журналу та поясненням застосовуваних криміналістичних методик. Цю статтю я опублікував у Linux Journal:

http://www.linuxjournal.com/article/9176

Ось уривок з початку:

Якщо ви працюєте з підключеними до Інтернету серверами, швидше за все, вам доведеться боротися з успішною атакою. Минулого року я виявив, що, незважаючи на багатошарові захисні засоби, встановлені на тестовому веб-сервері (targetbox), зловмисник зумів використати подвиг у частково успішній спробі отримати доступ. На цьому сервері працює Red Hat Enterprise Linux 4 (RHEL 4) та система управління вмістом Mambo. Він мав кілька захисних захистів, включаючи Linux-Enhanced Linux (SELinux). SELinux заважав зловмиснику здійснити другу стадію атаки, можливо, запобігаючи кореневому компромісу.

У цій статті представлено тематичний випадок реакції на вторгнення, в якому пояснюється, як я виявив вторгнення, які кроки я здійснив для виявлення вибуху, як я відновився після нападу та які уроки я отримав щодо безпеки системи. Я змінив імена машин та IP-адреси з міркувань конфіденційності.

— незрозумілий твердий
джерело