Exemplo de segurança do SELinux na vida real?

11

Alguém pode dar um exemplo da vida real de onde o SELinux salvou seu bacon de segurança? (ou AppArmour, se desejar). Se não o seu, um indicador para alguém com uma experiência credível?

Não é um teste de laboratório, nem um white paper, nem uma prática recomendada, nem um aviso do CERT, mas um exemplo real, algo como audit2why mostrando uma verdadeira tentativa de hacking interrompida?

(Se você não tem exemplo, mantenha comentários nos comentários em vez de Respostas.)

Obrigado!

linux security selinux kmarsh
fonte
Há uma condição nesta pergunta que é difícil de responder. O problema é que, quando os sistemas não são comprometidos, eles não são notícia. Eles só divulgam as notícias quando estão comprometidos. E assim, há notícias sobre muitos sistemas CentOS comprometidos, que foram comprometidos exatamente porque seus administradores desativaram o SELinux porque não querem se preocupar em aprender como configurá-lo e mantê-lo. Se eles não tivessem desativado o SELinux, não teriam sido comprometidos.
Juliano
Obrigado, mas eu não estava procurando notícias, mas experiências pessoais reais.
kmarsh

Respostas:

5

Que tal isso de Russell Coker ? É um exemplo da vida real, pois ele convidou todos para sua máquina como raiz. À primeira vista, pensei que isso era loucura, mas então você percebe o poder do SELinux de criar raízes um pouco inúteis.

Aqui estão alguns exemplos da vida real em seu site.

keithosu
fonte
1
Interessante. No primeiro link, ele fornece acesso root, mas (eu acho) trava com o SELinux quase tudo o que o root normalmente poderia fazer. Embora seja um computador real, ele se qualifica para a vida real apenas da mesma maneira que um reality show. Quantos SysAdmins configurariam uma máquina dessa maneira? O segundo link é mais o que estou procurando. Vou examiná-los. Obrigado!
kmarsh
4

O SELinux não é necessariamente sobre proteção contra hackers; trata-se de documentar e impor políticas de como um sistema se comporta. É uma ferramenta na caixa de ferramentas que é valiosa, mas requer habilidade para usar bem.

Um exemplo da vida real de como você economiza é algo como isto:

Uma vulnerabilidade em um daemon FTP permite que um usuário anônimo obtenha privilégios de root. Um invasor usa essa vulnerabilidade para acessar os diretórios pessoais do usuário e roubar chaves privadas SSH, algumas das quais não possuem uma senha.

Se o SELinux estiver configurado para proibir a política "Permitir que serviços ftp leiam e gravem arquivos nos diretórios pessoais do usuário", a exploração não será bem-sucedida e a violação da política será registrada.

duffbeer703
fonte
2
Esse não é um exemplo da vida real, é um exemplo de como poderia ser um exemplo da vida real. É um exemplo hipotético da vida real. O que o OP não pediu.
Jürgen A. Erhard
3

Aqui está uma descrição detalhada de um ataque que o SELinux interrompeu, com detalhes do log e uma explicação das técnicas forenses usadas. Eu peguei este artigo publicado no Linux Journal:

http://www.linuxjournal.com/article/9176

Aqui está um trecho do começo:

Se você opera servidores conectados à Internet, é provável que tenha que lidar com um ataque bem-sucedido. No ano passado, descobri que, apesar das defesas em várias camadas existentes em um servidor Web de teste (targetbox), um invasor conseguiu usar uma exploração em uma tentativa parcialmente bem-sucedida de obter acesso. Este servidor estava executando o Red Hat Enterprise Linux 4 (RHEL 4) e o sistema de gerenciamento de conteúdo Mambo. Ele tinha várias defesas, incluindo o Security-Enhanced Linux (SELinux). O SELinux impediu o invasor de executar o segundo estágio do ataque, possivelmente impedindo um comprometimento da raiz.

Este artigo apresenta um estudo de caso da resposta à invasão, explicando como eu a descobri, quais etapas tomei para identificar a exploração, como me recuperei do ataque e quais lições aprendi sobre segurança do sistema. Alterei nomes de máquinas e endereços IP por motivos de privacidade.

obscurerichard
fonte