神話か現実か:SELinuxはrootユーザーを制限できますか?
私はどこかを読んだり聞いたりしました(LinuxCBTのSELinuxコースのことかもしれませんが、確かではありません)。オンラインのLinuxサーバーがあり、rootユーザーのパスワードも与えられています。Linuxサーバーは、SELinuxルールを使用して強化されており、すべてのユーザーがrootユーザーでログインできますが、OSに害を及ぼすことはできません。 私には神話のように思えますが、確認したかったのは、Linuxユーザーを(おそらくSELinuxで)強化して、rootユーザーでさえ特定の悪意のある活動を実行できないようにすることですか?(例:システムファイルの削除、ログファイルの消去、重要なサービスの停止など) このようなLinuxボックスは、ハニーポットを構築するための素晴らしい出発点になります。 編集: 回答(現在削除済み)と少しのグーグルに基づいて、このような強化されたLinuxサーバーを指摘するリンクを少なくとも2つ入手しました。残念ながら、両方のサーバーがダウンしています。記録のために、ここに説明をコピーして貼り付けます。 1)http://www.coker.com.au/selinux/play.htmlから: SE Linuxマシンでの無料ルートアクセス! Debianプレイマシンsshにplay.coker.com.auからアクセスするにはとしてするには、パスワードは... このようなマシンを正常に実行するには、多くのスキルが必要です。実行するかどうかを尋ねる必要がある場合、答えは「いいえ」です。 これの目的は、必要なすべてのセキュリティがUnix権限なしでSE Linuxによって提供できることを実証することです(ただし、実サーバーにもUnix権限を使用することをお勧めします)。また、SEマシンにログインして、それがどのようなものかを確認する機会を提供します。 SE Linuxプレイマシンにログインするときは、ログインする前に-xオプションを使用してX11転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardX11 noを設定してください。また、ログインする前に、-aオプションを使用してsshエージェント転送を無効にするか、/ etc / ssh / ssh_configファイルでForwardAgent noを設定してください。これらの設定を正しく無効にしないと、プレイマシンにログインすると、SSHクライアントを介して攻撃を受ける危険があります。 これを議論するためのIRCチャンネルがあり、それがある#selinuxにirc.freenode.net。 ここに簡単なFAQがあります 2)http://www.osnews.com/comments/3731から 強化されたGentooの目的は、Gentooを高セキュリティ、高安定性の本番サーバー環境で実行可能にすることです。このプロジェクトは、Gentoo本体から切り離されたスタンドアロンのプロジェクトではありません。強力なセキュリティと安定性を提供するソリューションをGentooに提供することに焦点を当てたGentoo開発者のチームになることを意図しています。このマシンは、強化されたGentooのSELinuxのあるデモ機。主な用途は、SELinux統合とポリシーのテストと監査です。