Может ли кто-нибудь привести реальный пример того, где SELinux спас свою безопасность? (или AppArmour, если хотите). Если не ваш собственный, то указатель на кого-то с надежным опытом?
Не лабораторный тест, не технический документ, не лучшая практика, не рекомендация CERT, а реальный пример, что-то вроде audit2why, показывающий, что реальная попытка взлома остановлена?
(Если у вас нет примера, оставляйте комментарии в комментариях вместо ответов.)
Спасибо!
Как насчет этого от Рассел Кокер? Это пример из реальной жизни, поскольку он пригласил всех на свою машину как root. На первый взгляд, я подумал, что это чушь, но потом вы понимаете, что SELinux может сделать root бесполезным.
Вот немного реальной жизни Примеры со своего сайта.
SELinux не обязательно защищает от хакеров; речь идет о документировании и обеспечении соблюдения политики поведения системы. Это ценный инструмент в наборе инструментов, но для его правильного использования требуется умение.
Пример из реальной жизни того, как он вас спасает, выглядит примерно так:
Уязвимость в демоне FTP позволяет анонимному пользователю получить привилегии root. Злоумышленник использует эту уязвимость для доступа к домашним каталогам пользователей и кражи закрытых ключей SSH, некоторые из которых не имеют кодовой фразы.
Если SELinux настроен на запрет политики «Разрешить ftp-сервисам читать и записывать файлы в домашних каталогах пользователей», эксплойт не будет успешным, и нарушение политики будет зарегистрировано.
Вот подробное описание атаки, которую SELinux остановил на своем пути, с подробностями журнала и объяснением использованных методов криминалистики. Я опубликовал эту статью в Linux Journal:
http://www.linuxjournal.com/article/9176
Вот отрывок из начала:
Если вы используете серверы, подключенные к Интернету, скорее всего, вам в конечном итоге придется иметь дело с успешной атакой. В прошлом году я обнаружил, что, несмотря на наличие многоуровневой защиты на тестовом веб-сервере (targetbox), злоумышленнику удалось использовать эксплойт в частично успешной попытке получить доступ. На этом сервере работал Red Hat Enterprise Linux 4 (RHEL 4) и система управления контентом Mambo. У него было несколько средств защиты, включая Linux с повышенной безопасностью (SELinux). SELinux не позволил злоумышленнику выполнить второй этап атаки, возможно, предотвратив взлом root.
В этой статье представлен пример реакции на вторжение, объясняющий, как я обнаружил вторжение, какие шаги я предпринял для идентификации эксплойта, как я восстановился после атаки и какие уроки я извлек в отношении безопасности системы. Я изменил имена компьютеров и IP-адреса из соображений конфиденциальности.