Esempio di sicurezza SELinux nella vita reale?

11

Qualcuno può dare un esempio di vita reale di dove SELinux ha salvato la sua pancetta di sicurezza? (o AppArmour se lo desideri). Se non il tuo, un puntatore a qualcuno con un'esperienza credibile?

Non un test di laboratorio, non un white paper, non una buona pratica, non un avviso CERT, ma un vero esempio, qualcosa come audit2 perché mostra che un vero tentativo di hacking si è fermato?

(Se non hai un esempio, ti preghiamo di tenere un commento nei commenti anziché in Risposte.)

Grazie!

linux  security  selinux 
kmarsh
fonte
C'è una condizione in questa domanda a cui è difficile rispondere. Il problema è che quando i sistemi non sono compromessi, non fanno notizia. Fanno notizia solo quando sono compromessi. E così, ci sono notizie su molti sistemi CentOS compromessi, che sono stati compromessi proprio perché i loro amministratori hanno disabilitato SELinux perché non vogliono preoccuparsi di imparare come configurarlo e mantenerlo. Se non avessero disabilitato SELinux, non sarebbero stati compromessi.
Juliano,
Grazie, ma non cercavo notizie tanto quanto esperienze personali reali.
kmarsh

Risposte:

5

Che ne dici di Russell Coker ? È un esempio di vita reale poiché ha invitato tutti sulla sua macchina come root. A prima vista ho pensato che fosse pazzesco, ma poi ti rendi conto del potere di SELinux di rendere il root un po 'inutile.

Ecco alcuni esempi di vita reale dal suo sito.

keithosu
fonte
1
Interessante. Nel primo collegamento, concede l'accesso al root ma (immagino) si blocca con SELinux quasi tutto ciò che root sarebbe normalmente in grado di fare. Mentre questo è un vero computer, si qualifica per la vita reale solo allo stesso modo di un reality show. Quanti amministratori di sistema installerebbero una macchina in questo modo? Il secondo link è più quello che sto cercando. Li guarderò. Grazie!
kmarsh
4

SELinux non riguarda necessariamente la protezione dagli hacker; si tratta di documentare e applicare la politica sul comportamento di un sistema. È uno strumento nella casella degli strumenti che è prezioso, ma richiede abilità per usare bene.

Un esempio di vita reale di come ti salva è qualcosa del genere:

Una vulnerabilità in un demone FTP consente a un utente anonimo di ottenere i privilegi di root. Un utente malintenzionato utilizza tale vulnerabilità per accedere alle directory home dell'utente e rubare le chiavi private SSH, alcune delle quali non dispongono di una passphrase.

Se SELinux è configurato per non consentire la politica "Consenti ai servizi ftp di leggere e scrivere file nelle directory home dell'utente", l'exploit non avrebbe esito positivo e la violazione della politica verrebbe registrata.

duffbeer703
fonte
2
Questo non è un esempio di vita reale, è un esempio di come potrebbe apparire un esempio di vita reale. È un ipotetico esempio di vita reale. Che l'OP non ha richiesto.
Jürgen A. Erhard,
3

Ecco una descrizione dettagliata di un attacco che SELinux ha interrotto nelle sue tracce, con i dettagli del registro e una spiegazione delle tecniche forensi utilizzate. Ho ottenuto questo articolo pubblicato su Linux Journal:

http://www.linuxjournal.com/article/9176

Ecco un estratto dall'inizio:

Se gestisci server connessi a Internet, è probabile che alla fine dovrai affrontare un attacco riuscito. L'anno scorso ho scoperto che, nonostante le difese multistrato in atto su un server Web di prova (targetbox), un utente malintenzionato era riuscito a utilizzare un exploit in un tentativo parzialmente riuscito di ottenere l'accesso. Questo server utilizzava Red Hat Enterprise Linux 4 (RHEL 4) e il sistema di gestione dei contenuti Mambo. Aveva più difese in atto, tra cui Security-Enhanced Linux (SELinux). SELinux ha impedito all'attaccante di eseguire la seconda fase dell'attacco, probabilmente prevenendo un compromesso di root.

Questo articolo presenta un caso di studio sulla risposta all'intrusione, spiegando come ho scoperto l'intrusione, quali passi ho preso per identificare l'exploit, come mi sono ripreso dall'attacco e quali lezioni ho imparato sulla sicurezza del sistema. Ho cambiato i nomi delle macchine e gli indirizzi IP per motivi di privacy.

obscurerichard
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.