실제 SELinux 보안 예제?


11

SELinux가 보안 베이컨을 저장 한 곳의 실제 사례를 누구나 볼 수 있습니까? (또는 원하는 경우 AppArmour). 자신이 아니라면 믿을만한 경험이있는 사람을 가리키는 포인터?

랩 테스트, 백서, 모범 사례, CERT 권고가 아니라 audit2와 같은 실제 사례가 아니라 실제 해킹 시도를 보여주는 이유는 무엇입니까?

(예가 없으면 답변 대신 의견에 주석을 달아주십시오.)

감사!


이 질문에는 대답하기 어려운 조건이 있습니다. 문제는 시스템이 손상되지 않은 경우 뉴스를 만들지 않는다는 것입니다. 그들은 타협 될 때만 뉴스를 보냅니다. 따라서 관리자가 SELinux를 비활성화하고 구성 및 유지 관리 방법을 배우기를 원하지 않기 때문에 정확하게 손상된 손상된 CentOS 시스템에 대한 뉴스가 있습니다. SELinux를 비활성화하지 않았다면 손상되지 않았을 것입니다.
Juliano

고마워,하지만 나는 실제 개인적인 경험만큼 뉴스를 찾지 않았다.
kmarsh

답변:


5

어떻게에서이 약 러셀 코커 ? 그는 모든 사람을 자신의 컴퓨터에 루트로 초대 한 실제 사례입니다. 언뜻보기에는 이것이 견과류라고 생각했지만 루트를 다소 쓸모 없게 만드는 SELinux의 힘을 깨닫습니다.

그의 사이트에서 실제 사례 를 소개합니다.


1
흥미 롭군 첫 번째 링크에서 그는 루트 액세스 권한을 제공하지만 SELinux를 사용하여 루트가 일반적으로 할 수있는 모든 것을 잠급니다. 이것은 실제 컴퓨터이지만 실제 TV 쇼와 같은 방식으로 만 실생활에 적합합니다. 이 방법으로 시스템을 몇 대의 SysAdmin이 설정합니까? 두 번째 링크는 내가 찾고있는 것입니다. 내가 살펴볼 게 감사!
kmarsh

4

SELinux가 반드시 해커로부터 보호하는 것은 아닙니다. 시스템의 작동 방식에 대한 정책을 문서화하고 시행하는 것입니다. 도구 상자에는 유용한 도구이지만 잘 사용하려면 기술이 필요합니다.

그것이 당신을 구하는 방법의 실제 예는 다음과 같습니다.

FTP 데몬의 취약점으로 인해 익명의 사용자가 루트 권한을 얻을 수 있습니다. 공격자는이 취약점을 사용하여 사용자 홈 디렉토리에 액세스하고 SSH 개인 키를 훔칩니다 (일부 암호는 없습니다).


"ftp 서비스가 사용자 홈 디렉토리에서 파일을 읽고 쓸 수 있도록 허용"정책을 허용하지 않도록 SELinux를 구성한 경우, 익스플로잇이 실패하고 정책 위반이 기록됩니다.


2
그것은 실제 사례가 아니라 실제 사례가 어떻게 생겼는지의 예입니다. 그것은 A의 가상 현실의 예. OP가 요청하지 않은 것.
Jürgen A. Erhard

3

다음은 SELinux가 그 과정에서 중단 된 공격에 대한 자세한 내용과 로그 세부 정보 및 사용 된 법의학 기술에 대한 설명입니다. 이 기사는 Linux Journal에 실렸다.

http://www.linuxjournal.com/article/9176

처음부터 발췌 한 내용은 다음과 같습니다.

인터넷에 연결된 서버를 운영하는 경우 결국 성공적인 공격을 처리해야 할 가능성이 있습니다. 작년에 테스트 웹 서버 (targetbox)에 대한 다중 계층 방어에도 불구하고 공격자는 부분적으로 성공적인 액세스 시도를 통해 악용을 사용했음을 발견했습니다. 이 서버는 RHEL 4 (Red Hat Enterprise Linux 4) 및 Mambo 컨텐츠 관리 시스템을 실행했습니다. SELinux (Security-Enhanced Linux)를 포함하여 여러 가지 방어 수단이 마련되었습니다. SELinux는 침입자가 공격의 두 번째 단계를 실행하지 못하게하여 루트 손상을 방지 할 수있었습니다.

이 기사는 침입 대응 방법, 침입 탐지 방법, 익스플로잇을 식별하기 위해 수행 한 단계, 공격에서 복구 한 방법 및 시스템 보안과 관련하여 얻은 교훈을 설명하는 사례 연구를 제공합니다. 개인 정보 보호를 위해 컴퓨터 이름과 IP 주소를 변경했습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.