Пример безопасности SELinux в реальной жизни?

11

Кто-нибудь может привести пример из реальной жизни, где SELinux сохранил свой бекон безопасности? (или AppArmour, если хотите). Если не ваш, указатель на кого-то с надежным опытом?

Не лабораторный тест, не официальный документ, не лучшая практика, не рекомендация CERT, а реальный пример, что-то вроде audit2. Почему бы показать, что настоящая попытка взлома прекратилась?

(Если у вас нет примера, пожалуйста, оставляйте комментарии в комментариях вместо ответов.)

Благодарность!

linux security selinux kmarsh
источник
В этом вопросе есть условие, на которое трудно ответить. Проблема в том, что когда системы не скомпрометированы, они не делают новости. Они делают новости только когда они скомпрометированы. Итак, есть новости о многих скомпрометированных системах CentOS, которые были скомпрометированы именно потому, что их администраторы отключили SELinux, потому что они не хотят беспокоиться о том, как настроить и поддерживать его. Если бы они не отключили SELinux, они бы не были скомпрометированы.
Джулиано
Спасибо, но я не столько искала новости, сколько реальный личный опыт.
kmarsh

Ответы:

5

Как насчет этого от Рассела Кокера ? Это пример из реальной жизни, поскольку он пригласил всех на свою машину от имени пользователя root. На первый взгляд я подумал, что это безумие, но потом вы понимаете, что SELinux делает рут бесполезным.

Вот несколько примеров из его жизни .

keithosu
источник
1
Интересный. В первой ссылке он отдает root-доступ, но (я полагаю) блокирует с SELinux большинство всего, что обычно может сделать root. Хотя это настоящий компьютер, он подходит для реальной жизни точно так же, как и реалити-шоу. Сколько SysAdmins настроит машину таким образом? Вторая ссылка больше того, что я ищу. Я посмотрю их. Благодарность!
kmarsh
4

SELinux не обязательно о защите от хакеров; Речь идет о документировании и применении политики поведения системы. Это инструмент в наборе инструментов, который является ценным, но требует умения хорошо использовать.

Реальный пример того, как он вас спасает, выглядит примерно так:

Уязвимость в демоне FTP позволяет анонимному пользователю получить права root. Злоумышленник использует эту уязвимость для доступа к домашним каталогам пользователей и кражи закрытых ключей SSH, некоторые из которых не имеют парольной фразы.

Если SELinux настроен на запрет политики «Разрешить FTP-службам читать и записывать файлы в домашних каталогах пользователей», эксплойт не будет успешным, и нарушение политики будет зарегистрировано.

duffbeer703
источник
2
Это не пример из реальной жизни, это пример того, как может выглядеть пример из реальной жизни. Это гипотетический пример из реальной жизни. Который ОП не просил.
Юрген А. Эрхард
3

Вот подробное описание атаки, которую SELinux остановил, с подробностями журнала и объяснением используемых методов судебной экспертизы. Я получил эту статью, опубликованную в Linux Journal:

http://www.linuxjournal.com/article/9176

Вот выдержка с самого начала:

Если вы используете серверы, подключенные к Интернету, скорее всего, вам в конечном итоге придется иметь дело с успешной атакой. В прошлом году я обнаружил, что, несмотря на наличие многоуровневой защиты на тестовом веб-сервере (targetbox), злоумышленнику удалось использовать эксплойт в частично успешной попытке получить доступ. Этот сервер работал под управлением Red Hat Enterprise Linux 4 (RHEL 4) и системы управления контентом Mambo. У него было несколько средств защиты, включая Linux с расширенными возможностями безопасности (SELinux). SELinux не позволил злоумышленнику выполнить второй этап атаки, возможно, предотвратив компрометацию root.

В этой статье описывается конкретный пример реагирования на вторжение, объясняется, как я обнаружил вторжение, какие шаги я предпринял для выявления эксплойта, как я выздоровел после атаки и какие уроки я извлек в отношении безопасности системы. Я изменил имена компьютеров и IP-адреса из соображений конфиденциальности.

obscurerichard
источник