有人能举一个真实的例子来说明 SELinux 是如何挽救他们的安全吗?(或者如果你愿意的话,AppArmour 也是)。如果不是你自己的,能指点一下有可靠经验的人吗?
这不是实验室测试,不是白皮书,不是最佳实践,也不是 CERT 咨询,而是一个真实的例子,类似于 audit2why 展示的一次真正的黑客攻击被阻止了?
(如果您没有示例,请在评论中保留评论而不是答案。)
谢谢!
答案1
答案2
SELinux 不一定是为了防止黑客攻击;它是为了记录和执行系统行为策略。它是工具箱中的一个有价值的工具,但需要技巧才能使用得当。
一个关于它如何拯救你的现实生活例子是这样的:
FTP 守护程序中存在漏洞,允许匿名用户获得 root 权限。攻击者可利用该漏洞访问用户主目录并窃取 SSH 私钥,其中一些私钥没有密码。
如果 SELinux 配置为禁止“允许 ftp 服务读取和写入用户主目录中的文件”策略,则漏洞利用将不会成功,并且会记录策略违规行为。
答案3
以下是 SELinux 阻止的一次攻击的详细说明,其中包含日志详细信息和所用取证技术的说明。我在 Linux Journal 上发表了这篇文章:
http://www.linuxjournal.com/article/9176
以下是开头的摘录:
如果您运营与互联网相连的服务器,您最终很可能会面临一次成功的攻击。去年,我发现,尽管在测试 Web 服务器 (targetbox) 上部署了多层防御,但攻击者还是设法利用漏洞部分成功地获取了访问权限。该服务器运行的是 Red Hat Enterprise Linux 4 (RHEL 4) 和 Mambo 内容管理系统。它部署了多种防御措施,包括安全增强型 Linux (SELinux)。SELinux 阻止攻击者执行攻击的第二阶段,从而可能防止了 root 权限被盗用。
本文介绍了入侵响应的案例研究,解释了我如何发现入侵、我采取了哪些步骤来识别漏洞、我如何从攻击中恢复以及我学到了哪些有关系统安全的教训。出于隐私原因,我更改了机器名称和 IP 地址。