現実のSELinuxセキュリティの例？

11

SELinuxがセキュリティベーコンを保存した場所の実例を挙げることができますか？（または必要に応じてAppArmour）。あなた自身ではない場合、信頼できる経験を持つ人へのポインタ？

ラボテストではなく、ホワイトペーパーでも、ベストプラクティスでも、CERTアドバイザリでもありませんが、実際の例、実際のハッキングの試みが途中で止まったというaudit2whyのようなものですか？

（例がない場合は、Answersではなくコメントをコメントにしてください。）

ありがとう！

linux security selinux

— kmarsh
ソース

この質問には答えるのが難しい条件があります。問題は、システムが危険にさらされていない場合、ニュースを発信しないことです。彼らは侵害されたときにのみニュースを作ります。そのため、多くの侵害されたCentOSシステムについてのニュースがあります。管理者はSELinuxを設定および保守する方法をわざわざ知りたくないため、SELinuxを無効にしたために侵害されました。彼らがSELinuxを無効にしていなければ、侵害されていなかっただろう。

— ジュリアーノ

感謝しますが、私は実際の個人的な経験ほどニュースを探していませんでした。

— kmarsh

5

ラッセル・コーカーからこれはどうですか？これは実際の例であり、彼はすべての人を自分のマシンにルートとして招待しています。一見、これは簡単なことだと思いましたが、SELinuxがrootをいくらか役に立たなくする力を実感します。

彼のサイトからの実際の例をいくつか紹介します。

— ケイトス
ソース

1

面白い。最初のリンクでは、彼はルートアクセス権を提供しますが、（おそらく）SELinuxでロックダウンします。これは実際のコンピューターですが、現実のテレビ番組と同じ方法でのみ実際の生活に適しています。この方法でマシンをセットアップするシステム管理者は何人ですか？2番目のリンクは、私が探しているものです。私はそれらを見ます。ありがとう！

— kmarsh

4

SELinuxは必ずしもハッカーからの保護に関するものではありません。システムの動作に関するポリシーを文書化して適用することです。ツールボックスにあるツールは価値がありますが、うまく使用するにはスキルが必要です。

それがあなたを救う方法の実際の例は、このようなものです：

FTPデーモンの脆弱性により、匿名ユーザーがルート権限を取得できるようになります。攻撃者はその脆弱性を使用して、ユーザーのホームディレクトリにアクセスし、SSH秘密鍵を盗みます。その一部にはパスフレーズがありません。

SELinuxが「ftpサービスによるユーザーホームディレクトリ内のファイルの読み取りおよび書き込みを許可する」ポリシーを許可しないように設定されている場合、このエクスプロイトは成功せず、ポリシー違反がログに記録されます。

— duffbeer703
ソース

2

これは実際の例ではなく、実際の例がどのように見えるかの例です。これは架空の実生活の例です。OPはそれを要求しませんでした。

— ユルゲンA.エアハルト

3

以下に、SELinuxがそのトラックで停止した攻撃の詳細な記述と、ログの詳細および使用されたフォレンジック手法の説明を示します。この記事をLinux Journalに掲載しました：

http://www.linuxjournal.com/article/9176

これは最初からの抜粋です。

インターネットに接続されたサーバーを運用している場合、最終的には成功した攻撃に対処する必要があります。昨年、テストWebサーバー（ターゲットボックス）に多層防御が設定されていたにもかかわらず、攻撃者がアクセスを獲得するために部分的に成功する試みで悪用を使用することができたことを発見しました。このサーバーは、Red Hat Enterprise Linux 4（RHEL 4）およびMamboコンテンツ管理システムを実行していました。Security-Enhanced Linux（SELinux）など、複数の防御策が実施されていました。SELinuxは、攻撃者が攻撃の第2段階を実行することを防ぎ、ルートの侵害を防ぐことができました。

この記事では、侵入応答のケーススタディを紹介し、侵入の発見方法、エクスプロイトを特定するための手順、攻撃からの回復方法、およびシステムセキュリティに関して学んだ教訓を説明します。プライバシー上の理由から、マシン名とIPアドレスを変更しました。

— あいまいな
ソース