SELinux가 보안 베이컨을 저장 한 곳의 실제 사례를 누구나 볼 수 있습니까? (또는 원하는 경우 AppArmour). 자신이 아니라면 믿을만한 경험이있는 사람을 가리키는 포인터?
랩 테스트, 백서, 모범 사례, CERT 권고가 아니라 audit2와 같은 실제 사례가 아니라 실제 해킹 시도를 보여주는 이유는 무엇입니까?
(예가 없으면 답변 대신 의견에 주석을 달아주십시오.)
감사!
답변
어떻게에서이 약 러셀 코커 ? 그는 모든 사람을 자신의 컴퓨터에 루트로 초대 한 실제 사례입니다. 언뜻보기에는 이것이 견과류라고 생각했지만 루트를 다소 쓸모 없게 만드는 SELinux의 힘을 깨닫습니다.
그의 사이트에서 실제 사례 를 소개합니다.
답변
SELinux가 반드시 해커로부터 보호하는 것은 아닙니다. 시스템의 작동 방식에 대한 정책을 문서화하고 시행하는 것입니다. 도구 상자에는 유용한 도구이지만 잘 사용하려면 기술이 필요합니다.
그것이 당신을 구하는 방법의 실제 예는 다음과 같습니다.
FTP 데몬의 취약점으로 인해 익명의 사용자가 루트 권한을 얻을 수 있습니다. 공격자는이 취약점을 사용하여 사용자 홈 디렉토리에 액세스하고 SSH 개인 키를 훔칩니다 (일부 암호는 없습니다).
“ftp 서비스가 사용자 홈 디렉토리에서 파일을 읽고 쓸 수 있도록 허용”정책을 허용하지 않도록 SELinux를 구성한 경우, 익스플로잇이 실패하고 정책 위반이 기록됩니다.
답변
다음은 SELinux가 그 과정에서 중단 된 공격에 대한 자세한 내용과 로그 세부 정보 및 사용 된 법의학 기술에 대한 설명입니다. 이 기사는 Linux Journal에 실렸다.
http://www.linuxjournal.com/article/9176
처음부터 발췌 한 내용은 다음과 같습니다.
인터넷에 연결된 서버를 운영하는 경우 결국 성공적인 공격을 처리해야 할 가능성이 있습니다. 작년에 테스트 웹 서버 (targetbox)에 대한 다중 계층 방어에도 불구하고 공격자는 부분적으로 성공적인 액세스 시도를 통해 악용을 사용했음을 발견했습니다. 이 서버는 RHEL 4 (Red Hat Enterprise Linux 4) 및 Mambo 컨텐츠 관리 시스템을 실행했습니다. SELinux (Security-Enhanced Linux)를 포함하여 여러 가지 방어 수단이 마련되었습니다. SELinux는 침입자가 공격의 두 번째 단계를 실행하지 못하게하여 루트 손상을 방지 할 수있었습니다.
이 기사는 침입 대응 방법, 침입 탐지 방법, 익스플로잇을 식별하기 위해 수행 한 단계, 공격에서 복구 한 방법 및 시스템 보안과 관련하여 얻은 교훈을 설명하는 사례 연구를 제공합니다. 개인 정보 보호를 위해 컴퓨터 이름과 IP 주소를 변경했습니다.
