我的 debian 服务器出了问题。我的 web-server 上可能存在一些易受攻击的脚本,该脚本以 www-data 用户身份运行。我还安装了带有 winbind 的 samba,并且 samba 已加入到 windows 域中。
因此,这个易受攻击的脚本可能允许黑客通过 winbind unix 域套接字强制破解域控制器。
实际上我在 netstat -a 输出中有很多这样的行:
unix 3 [ ] 流已连接 509027 /var/run/samba/winbindd_privileged/pipe
我们的 DC 日志包含大量来自 root 或 guest 帐户的记录身份验证尝试。
如何限制我的 apache 对 winbind 的访问?我有一个想法,即对 IPC 套接字使用某种防火墙。这可能吗?
答案1
如果您看到 Web 服务器脚本正在访问文件系统的某些部分(这不应该发生),那么解决方案不是阻止该访问,而是查找并消除暴露访问权限的脚本。
(实际上阻止对套接字的访问只需在套接字上设置权限或运行 web 服务器 chroot 即可)
答案2
这正是SELinux旨在解决此问题。如果您对设置它感到不安,那么请使用为此设计的发行版,例如 Red Hat 或其中一个衍生产品,例如 CentOS。
答案3
仅供参考,由于您的计算机是通过 winbind 加入域的,因此用户 ID 和组查找将通过 NSS 通过 winbind 进行。在目录中运行 ls(1) 将导致用户 ID/组映射查找完成,运行 ps(1) 等将导致映射查找完成,无论是在 /etc/passwd 文件还是在 AD 中。这可能是您所有流量的来源。