kma*_*rsh 13 security linux selinux
谁能举一个真实的例子来说明 SELinux 在哪里拯救了他们的安全培根?(如果您愿意,也可以使用 AppArmour)。如果不是您自己的,请指点具有可靠经验的人?
不是实验室测试,不是白皮书,不是最佳实践,不是 CERT 建议,而是一个真实的例子,比如 audit2why 显示真正的黑客尝试停止了?
(如果您没有示例,请在评论中保留评论而不是答案。)
谢谢!
罗素·科克(Russell Coker)的这个怎么样?这是一个真实的例子,因为他邀请每个人以 root 身份访问他的机器。乍一看,我认为这很疯狂,但后来您意识到 SELinux 的强大功能使 root 变得有些无用。
以下是他网站上的一些现实生活中的例子。
SELinux 不一定是为了防范黑客;它是关于记录和执行系统行为的策略。它是工具箱中的一个工具,很有价值,但需要技巧才能很好地使用。
它如何拯救你的真实例子是这样的:
FTP 守护程序中的漏洞允许匿名用户获得 root 权限。攻击者利用该漏洞访问用户主目录并窃取 SSH 私钥,其中一些没有密码短语。
如果 SELinux 配置为禁止“允许 ftp 服务在用户主目录中读取和写入文件”策略,则漏洞利用不会成功,并且会记录策略违规。
以下是 SELinux 阻止的一次攻击的详细记录,包括日志详细信息和所使用的取证技术的解释。我在 Linux Journal 上发表了这篇文章:
http://www.linuxjournal.com/article/9176
以下是开头的摘录:
如果您运行连接互联网的服务器,您很可能最终将不得不应对成功的攻击。去年,我发现尽管测试 Web 服务器(targetbox)上设置了多层防御,但攻击者还是成功地利用了漏洞,部分成功地尝试获取访问权限。该服务器运行 Red Hat Enterprise Linux 4 (RHEL 4) 和 Mambo 内容管理系统。它有多种防御措施,包括安全增强型 Linux (SELinux)。SELinux 阻止攻击者执行第二阶段的攻击,从而可能阻止 root 攻击。
本文介绍了入侵响应的案例研究,解释了我如何发现入侵、采取了哪些步骤来识别漏洞、如何从攻击中恢复以及我在系统安全方面学到了哪些经验教训。出于隐私原因,我更改了计算机名称和 IP 地址。
| 归档时间: |
|
| 查看次数: |
3031 次 |
| 最近记录: |