13 votes

Christian Studer avatar

Exemple réel de sécurité SELinux ?

Demandé el 2 de Septembre, 2009
Quand la question a-t-elle été
3208 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelqu'un peut-il donner un exemple concret où SELinux a sauvé sa sécurité ? (ou AppArmour si vous voulez). Si ce n'est pas le vôtre, un pointeur vers quelqu'un ayant une expérience crédible ?

Il ne s'agit pas d'un test en laboratoire, d'un livre blanc, d'une meilleure pratique ou d'un avis du CERT, mais d'un exemple réel, quelque chose comme audit2why montrant une véritable tentative de piratage arrêtée dans son élan ?

(Si vous n'avez pas d'exemple, veuillez garder les commentaires dans les commentaires plutôt que dans les réponses).

Merci !

Demandé el 2 de Septembre, 2009 par Christian Studer

Réponses

Trop de publicités?

6voto

user18040 avatar
user18040 Points 1

Que pensez-vous de ceci Russell Coker ? C'est un exemple concret car il a invité tout le monde sur sa machine en tant que root. Au premier abord, j'ai pensé que c'était dingue, mais ensuite, on se rend compte de la puissance de SELinux, qui rend l'utilisateur root quelque peu inutile.

Voici quelques exemples concrets exemples de son site.

Répondu el 2 de Septembre, 2009 par user18040 (1 Points )

6voto

obscurerichard avatar
obscurerichard Points 171

Voici un compte rendu détaillé d'une attaque que SELinux a stoppée net, avec des détails sur les journaux et une explication des techniques d'investigation utilisées. Cet article a été publié dans le Linux Journal :

http://www.linuxjournal.com/article/9176

Voici un extrait du début :

Si vous exploitez des serveurs connectés à l'internet, il y a de fortes chances que vous ayez un jour à faire face à une attaque réussie. L'année dernière, j'ai découvert qu'en dépit des défenses multicouches en place sur un serveur Web de test (targetbox), un attaquant avait réussi à utiliser un exploit dans une tentative d'accès partiellement réussie. Ce serveur exécutait Red Hat Enterprise Linux 4 (RHEL 4) et le système de gestion de contenu Mambo. De nombreuses défenses étaient en place, notamment SELinux (Security-Enhanced Linux). SELinux a empêché l'attaquant d'exécuter la deuxième étape de l'attaque, empêchant peut-être une compromission de la racine.

Cet article présente une étude de cas de la réponse à l'intrusion, expliquant comment j'ai découvert l'intrusion, quelles mesures j'ai prises pour identifier l'exploit, comment je me suis remis de l'attaque et quelles leçons j'ai tirées concernant la sécurité du système. J'ai changé les noms des machines et les adresses IP pour des raisons de confidentialité.

Répondu el 8 de Novembre, 2014 par obscurerichard (171 Points )

5voto

duffbeer703 avatar
duffbeer703 Points 19867

SELinux n'est pas nécessairement une protection contre les pirates ; il s'agit de documenter et d'appliquer une politique sur le comportement d'un système. Il s'agit d'un outil de la boîte à outils qui est précieux, mais dont la bonne utilisation requiert des compétences.

Voici un exemple concret des économies que vous pouvez réaliser :

Une vulnérabilité dans un démon FTP permet à un utilisateur anonyme d'obtenir les privilèges. Un attaquant utilise cette vulnérabilité pour accéder aux répertoires utilisateurs et voler les clés privées SSH privées SSH, dont certaines n'ont pas de phrase de passe.

Si SELinux est configuré pour interdire la politique "Allow ftp services to read and write files in user home directories", l'exploit ne réussira pas et la violation de la politique sera enregistrée.

Répondu el 2 de Septembre, 2009 par duffbeer703 (19867 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X