У меня проблема с моим сервером Debian. Возможно, у моего веб-сервера есть какой-то уязвимый скрипт, который запускается от пользователя www-data. У меня также есть самба с установленным winbind, и самба присоединена к домену Windows.
Так что, вероятно, этот уязвимый скрипт позволяет хакеру подобрать контроллер домена через сокет домена winbind unix.
На самом деле у меня на выходе netstat -a много таких строк:
unix 3 [] ПОТОК СОЕДИНЕН 509027 / var / run / samba / winbindd_privileged / pipe
И наши журналы DC содержат множество записанных попыток аутентификации от корневых или гостевых учетных записей.
Как я могу ограничить доступ apache к winbind? У меня возникла идея использовать какой-то межсетевой экран для IPC-сокетов. Является ли это возможным?
К вашему сведению, поскольку ваша машина присоединена к домену через winbind, поиск идентификатора пользователя и группы будет проходить через winbind через NSS. Запуск ls (1) в каталоге приведет к выполнению поиска сопоставления идентификатора пользователя / группы, запуск ps (1) и т. Д. Приведет к выполнению поиска сопоставления как в файле / etc / passwd, так и в AD. Это может быть источником всего вашего трафика.
Это именно то, что SELinux был разработан для решения. Если вас тошнит при настройке, используйте дистрибутив, который был разработан для этого, например Red Hat или одну из производных, например CentOS.
Если вы видите сценарии веб-сервера, обращающиеся к частям файловой системы, которых не должно быть, тогда решение состоит не в том, чтобы блокировать этот доступ, а в поиске и удалении сценариев, раскрывающих доступ.
(на самом деле блокировка доступа к сокету - это просто вопрос установки разрешений для сокета или запуска веб-сервера chroot'd)