Contoh keamanan SELinux kehidupan nyata?

11

Adakah yang bisa memberikan contoh kehidupan nyata di mana SELinux menyelamatkan bacon keamanan mereka? (atau AppArmour jika Anda mau). Jika bukan milik Anda, penunjuk ke seseorang dengan pengalaman yang kredibel?

Bukan tes lab, bukan kertas putih, bukan praktik terbaik, bukan penasihat CERT, tapi contoh nyata, sesuatu seperti audit2 mengapa menunjukkan upaya peretasan nyata berhenti di jalurnya?

(Jika Anda tidak memiliki contoh, harap simpan komentar dalam komentar alih-alih Jawaban.)

Terima kasih!

linux security selinux kmarsh
sumber
Ada kondisi dalam pertanyaan ini yang sulit dijawab. Masalahnya adalah ketika sistem tidak dikompromikan, mereka tidak membuat berita. Mereka hanya membuat berita ketika mereka dikompromikan. Jadi, ada berita tentang banyak sistem CentOS yang dikompromikan, yang dikompromikan justru karena administrator mereka menonaktifkan SELinux karena mereka tidak mau repot-repot mempelajari cara mengonfigurasikan dan memeliharanya. Jika mereka tidak menonaktifkan SELinux, mereka tidak akan dikompromikan.
Juliano
Terima kasih, tetapi saya tidak mencari berita sebanyak pengalaman pribadi yang sebenarnya.
kmarsh

Jawaban:

5

Bagaimana dengan Russell Coker ? Ini adalah contoh kehidupan nyata karena ia telah mengundang semua orang ke mesinnya sebagai root. Pada pandangan pertama saya pikir ini gila tapi kemudian Anda menyadari kekuatan SELinux untuk membuat root agak tidak berguna.

Berikut adalah beberapa contoh kehidupan nyata dari situsnya.

keithosu
sumber
1
Menarik. Pada tautan pertama, ia memberikan akses root tetapi (saya kira) mengunci dengan SELinux, sebagian besar root biasanya dapat melakukannya. Meskipun ini adalah komputer nyata, itu memenuhi syarat untuk kehidupan nyata hanya dengan cara yang sama seperti acara TV kenyataan. Berapa banyak SysAdmins yang akan menyiapkan mesin dengan cara ini? Tautan kedua adalah yang saya cari. Saya akan melihat mereka. Terima kasih!
kmarsh
4

SELinux tidak selalu tentang perlindungan dari peretas; ini tentang mendokumentasikan dan menegakkan kebijakan tentang bagaimana suatu sistem berperilaku. Ini adalah alat di kotak alat yang berharga, tetapi membutuhkan keterampilan untuk digunakan dengan baik.

Contoh kehidupan nyata tentang bagaimana hal itu menyelamatkan Anda adalah sesuatu seperti ini:

Kerentanan dalam daemon FTP memungkinkan pengguna anonim untuk mendapatkan hak akses root. Penyerang menggunakan kerentanan itu untuk mengakses direktori home pengguna dan mencuri kunci pribadi SSH, beberapa di antaranya tidak memiliki kata sandi.

Jika SELinux dikonfigurasi untuk melarang kebijakan "Izinkan layanan ftp untuk membaca dan menulis file di direktori home user", eksploit tidak akan berhasil, dan pelanggaran kebijakan akan dicatat.

duffbeer703
sumber
2
Itu bukan contoh kehidupan nyata, ini adalah contoh bagaimana contoh kehidupan nyata bisa terlihat. Ini adalah contoh kehidupan nyata hipotetis . Yang tidak diminta OP.
Jürgen A. Erhard
3

Berikut adalah penulisan rinci serangan yang SELinux berhenti di jalurnya, dengan detail log dan penjelasan tentang teknik forensik yang digunakan. Saya mendapatkan artikel ini dipublikasikan di Linux Journal:

http://www.linuxjournal.com/article/9176

Ini kutipan dari awal:

Jika Anda mengoperasikan server yang terhubung ke Internet, kemungkinan Anda akhirnya harus menghadapi serangan yang berhasil. Tahun lalu, saya menemukan bahwa meskipun ada pertahanan berlapis-lapis pada server Web uji (targetbox), seorang penyerang berhasil menggunakan exploit dalam upaya yang sebagian berhasil untuk mendapatkan akses. Server ini menjalankan Red Hat Enterprise Linux 4 (RHEL 4) dan sistem manajemen konten Mambo. Itu memiliki beberapa pertahanan di tempat, termasuk Keamanan-Enhanced Linux (SELinux). SELinux mencegah penyerang melakukan serangan tahap kedua, mungkin mencegah kompromi root.

Artikel ini menyajikan studi kasus respon intrusi, menjelaskan bagaimana saya menemukan intrusi, langkah apa yang saya ambil untuk mengidentifikasi exploit, bagaimana saya pulih dari serangan dan pelajaran apa yang saya pelajari mengenai keamanan sistem. Saya telah mengubah nama mesin dan alamat IP untuk alasan privasi.

obscurerichard
sumber