Ho letto o sentito da qualche parte (forse nel corso SELinux di LinuxCBT ; ma non sono sicuro) che ci sono server Linux online, per i quali viene fornita anche la password dell'utente root. Il server Linux è rinforzato usando le regole SELinux, in modo tale che tutti possano accedere con l'utente root, ma non possano danneggiare il sistema operativo.
Mi sembra un mito, ma volevo assicurarmi: è possibile rendere più duro un box Linux (possibilmente con SELinux), in modo che anche l'utente root non possa fare specifiche attività dannose su di esso? (Esempi: eliminazione di file di sistema, cancellazione di file di registro, interruzione di servizi critici, ecc.)
Una tale scatola Linux sarà un ottimo punto di partenza per costruire un honeypot .
Modifica: sulla base di una risposta (ora eliminata) e di un po 'di Google, ho ottenuto almeno due collegamenti che indicavano tali server Linux rinforzati. Sfortunatamente, entrambi i server sono inattivi. Per la cronaca, copierò e incollerò le descrizioni qui:
1) Da http://www.coker.com.au/selinux/play.html :
Accesso root gratuito su una macchina Linux SE!
Per accedere alla mia macchina da gioco Debian ssh su play.coker.com.au come root, la password è ...
Si noti che tali macchine richiedono molta abilità se si desidera eseguirle correttamente. Se devi chiedere se dovresti eseguirne uno, la risposta è "no".
Lo scopo è quello di dimostrare che SE Linux può fornire tutta la sicurezza necessaria senza alcuna autorizzazione Unix (tuttavia si consiglia comunque di utilizzare le autorizzazioni Unix anche per server reali). Inoltre ti dà la possibilità di accedere a una macchina SE e vedere com'è.
Quando si accede a una macchina da gioco SE Linux assicurarsi di utilizzare l' opzione -x per disabilitare l'inoltro X11 o impostare ForwardX11 no nel file / etc / ssh / ssh_config prima di accedere. Assicurati anche di usare l'opzione -a per disabilitare l'inoltro dell'agente ssh o impostare ForwardAgent no nel tuo file / etc / ssh / ssh_config prima di accedere. Se non disabiliti correttamente queste impostazioni, l'accesso alla macchina da gioco rischi di essere attaccato dal tuo client SSH.
C'è un canale IRC per discuterne, è #selinux su irc.freenode.net .
Ecco una breve FAQ
2) Da http://www.osnews.com/comments/3731
Gentoo Hardened 's scopo è di rendere Gentoo praticabile per alta sicurezza, ambienti ad alta stabilità dei server di produzione. Questo progetto non è un progetto indipendente disgiunto da Gentoo; è destinato a essere un team di sviluppatori Gentoo che si concentrano sulla fornitura di soluzioni a Gentoo che forniscano sicurezza e stabilità elevate. Questa macchina è la macchina demo SELinux di Gentoo temprata . Il suo uso principale è testare e controllare l'integrazione e la politica di SELinux.