The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Рекомендации по использованию SELinux для защиты web-сервера

03.08.2012 16:47

Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку об особенностях использования механизма SELinux, написанную в ответ на статью с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности SELinux как средства для блокирования уязвимостей или ошибок в конфигурации.

Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера.

  1. Главная ссылка к новости (http://lwn.net/Articles/509438...)
Лицензия: CC-BY
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/34483-selinux
Ключевые слова: selinux, apache
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, AlexYeCu (ok), 17:08, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –13 +/
    Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.
     
     
  • 2.2, anonymous (??), 17:12, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это раньше, в докомпьютерную эпоху срабатывало. Сейчас не человек будет тебя ломать, а бот, ему все равно важен ты или нет, его дело попытаться, если прокатит - отзвониться в центр, там другой бот решит на основании эвристики что с тобой делать, вне зависимости от твоей важности.
     
  • 2.3, Аноним (-), 17:25, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Я, конечно, не специалист по Linux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

    Не стесняйтесь, скажите прямо.

     
  • 2.4, Ы (?), 17:30, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Я, конечно, не специалист

    А зачем тогда постить своё "что-то мне кажется" ... думаешь хоть кого то волнует?
    Это ты доктору своему расскажи, может спасут ещё :)

     
     
  • 3.5, AlexYeCu (ok), 17:32, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тебя ж вот взволновало.
     
     
  • 4.7, Ы (?), 17:55, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне - можно, меня уже не спасут! :)
     
  • 4.19, Аноним (-), 19:37, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну тебя ж вот взволновало.

    Он у нас вообще весь волнительный такой.

     
  • 2.6, anonymous (??), 17:52, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ты действительно неспециалист.
     
  • 2.9, Аноним (-), 18:15, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >  Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

    Буквы "se" в вашем утверждении, очевидно, опечатка?

     

  • 1.8, Andrew Kolchoogin (?), 18:04, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну да, Ермаков, конечно, отжог аццки.

    Всем специалистам по системной безопасности, а также тем, кто себя к таковым причисляет (правомерно или не очень), следует вбить себе киянкой в голову следующий факт: не существует и никогда не будет существовать ни программного, ни аппаратного, ни комплексного решения, которое из несекурного софта (или оборудования) сделает секурное.

    При помощи различных ИБ'шных решений можно более или менее (в зависимости от решения) _ограничить_ последствия атаки интрудера. Если ИБ'шное решение _очень_ хорошее, то ограничить до такой степени, что атака станет бессмысленной (вряд ли кому-то понадобится shell, который на любую попытку запустить внешний бинарник будет отвечать "permission denied").

    Но секурным софт (оборудование) всё равно не станет. Dixi.

     
     
  • 2.10, pavlinux (ok), 18:23, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не существует и никогда не будет существовать ни программного, ни аппаратного,
    > ни комплексного решения, которое из несекурного софта (иоборудования) сделает секурное.

    Слишком громкие, бесполеные и не профессиоанльные заявления. Сам найдёшь причину?

     
  • 2.13, Аноним (-), 18:28, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто такое Ермаков и кто такое Dixi?
     
     
  • 3.16, Andrey Mitrofanov (?), 18:38, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто такое Ермаков и кто такое Dixi?

    Пройдите! http://en.wikipedia.org/wiki/%D0%95%D1%80%D0%BC http://en.wikipedia.org/wiki/Dixi

     
     
  • 4.20, Аноним (-), 19:37, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ниочем.
     
     
  • 5.23, Аноним (-), 19:43, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ниочем.

    Наоборот, очень содержательно.
    Первая ссылка сообщает, что относящийся к теме обсуждения носитель фамилии Еркмаков - никто (ведь в википедии его нет).
    А вторая ссылка вполне доступно рассказывает, что такое Dixi. Правда, тот, кто кидал ссылку, не учел вашей неприязни к иностранным языкам.

     
     
  • 6.26, Аноним (-), 19:50, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь посмотрите на комментарий №21. Чувствуете разницу?

    Опеннет превратился в двач, как бы мерзко это не звучало.

     
     
  • 7.29, Аноним (-), 19:57, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь посмотрите на комментарий №21. Чувствуете разницу?

    Дык я же его и писал :)

     
  • 7.35, Аноним (-), 21:49, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь посмотрите на комментарий №21. Чувствуете разницу?
    > Опеннет превратился в двач, как бы мерзко это не звучало.

    Абы не в сосач.

     
  • 6.44, Аноним (-), 20:36, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.
     
     
  • 7.49, Ytch (?), 22:50, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.

    Не! Круто это рок-команда из Боливии и барабанщик "Черного Обелиска". ))

     
  • 3.21, Аноним (-), 19:40, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто такое Ермаков и кто такое Dixi?

    Ермаков - это такой ламер из ламерской конторки positive technologies.
    Dixi - это такое латинское слово, аналог exit 0 в скриптах.

     
     
  • 4.25, Аноним (-), 19:46, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Очем.
     
  • 2.38, коксюзер (?), 23:48, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Всем специалистам по системной безопасности, а также тем, кто себя к таковым
    > причисляет (правомерно или не очень), следует вбить себе киянкой в голову

    Вы слишком много на себя берёте.

     
     
  • 3.39, Аноним (-), 23:55, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну должен же кто-то исполнять обязанности Капитана Очевидность.
     
     
  • 4.45, Аноним (-), 20:37, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну должен же кто-то исполнять обязанности Капитана Очевидность.

    Какой-то очень унылый комиссар получилс.

     

  • 1.11, Аноним (-), 18:23, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > This boolean allows apache to communicate with the avahi daemon over DBUS.  This boolean should have been disabled by default, but most likely does not add much risk.  It is turned off by default in Fedora and RHEL7.
    > RHEL7.

    Я хочу себе такую же машину времени.

     
     
  • 2.12, pavlinux (ok), 18:26, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я хочу себе такую же машину времени.

    И чё там нового будет? Очередной linux kernel + glibc, иль что-то придумали ещё?


     
     
  • 3.14, Аноним (-), 18:29, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    systemd + Gnome 3

    Ради этого стоит ждать.

     
     
  • 4.18, Аноним (-), 19:36, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Gnome 3

    Вы так беспокоитесь из-за десктопной среды серверного дистрибутива?

     
     
  • 5.22, Аноним (-), 19:40, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я беспокоюсь <b>В ПРИНЦИПЕ</b>.
     
     
  • 6.24, Аноним (-), 19:45, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я беспокоюсь <b>В ПРИНЦИПЕ</b>.

    В таком случае, рекомендую настойку валерианы на ночь.

     
     
  • 7.27, Аноним (-), 19:51, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я лучше стакан водаса хряпну да черного ворона спою.
     
     
  • 8.30, Аноним (-), 19:57, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже вариант ... текст свёрнут, показать
     

  • 1.15, selinux (?), 18:31, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня вообще не ассоциируется безопасность и Apache. Apache - это для новичков, "все-в-одном", но для безопасной системы нужно что-то полегче и попроще, например lighttpd, nginx и подобное.
     
     
  • 2.17, Andrey Mitrofanov (?), 18:40, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >вообще не ассоциируется безопасность и Apache.
    >nginx и подобное.

    Да, жиникс хорош. Подростает! Версия 2.2 будет "как апач"::))

     
     
  • 3.28, Аноним (-), 19:54, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Подростает!

    и в этом весь opennet

     
     
  • 4.32, pavlinux (ok), 20:54, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я уйду, обид не замечая, конфетку шоколадную жуя...
    И пусть тебя полюбит лошадь злая, а не такое солнышко как я.
     
  • 4.33, saNdro (?), 21:00, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Он (opennet) не расчитан на тех, кто юмор не понимает.
     
     
  • 5.34, Аноним (-), 21:12, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20% такой юмор... ну, типа съязвить на тему микрософта, а другие начинают подыгрывать и бешено плюсовать. Секта непричесанных "одминов".

    ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

     
     
  • 6.36, тигар (ok), 22:14, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20%
    > такой юмор... ну, типа съязвить на тему микрософта, а другие начинают
    > подыгрывать и бешено плюсовать. Секта непричесанных "одминов".
    > ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

    нет ничего суровее анонимного кармафапера, да...

     
     
  • 7.46, Аноним (-), 20:44, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > нет ничего суровее анонимного кармафапера, да...

    А как же неанонимные ламеры?

     
  • 6.40, Евгений Н (?), 02:29, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще я как бы согласен. С другой стороны, такая здравая мысль, в том числе и ко мне:

    Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Знаний не хватает? Ну тогда и не жужжи.

    ;)

     
     
  • 7.41, Аноним (-), 03:05, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Позволю несколько перефразировать.

    Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсира

     
  • 7.42, Аноним (-), 03:08, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения за предыдущий неудавшийся комментарий. Вот исправленная и дополненная версия.

    Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсирай майкрософт и яросно минусуй всех, кто имеет мнение отличное от мнения 95% населения.

     
     
  • 8.50, Ytch (?), 22:56, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да можно было и оставить только неудавшийся Многие бы легко догадались о недо... текст свёрнут, показать
     

  • 1.31, kuku (?), 20:25, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я думаю для начала, чтобы судить о безопасности,
    надо разобраться о механизмах изолирования задач
    в многозадачной среде...
    потом посмотреть как влияет система пользовательских
    прав...
    ещё IPC...

    то есть надо бы провести аудит исходных текстов в
    этих механизмах...

    а может в этих областях неправильная организация ?

    "простое многого нетребует..."

     
  • 1.37, YetAnotherOnanym (?), 23:13, 03/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > провести аудит исходных текстов в этих механизмах

    Расследование показало, что причиной пожара стало возгорание противопожарной системы.

     
  • 1.43, mma (?), 12:49, 04/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Правильней сказать "selinux" малополезен в варианте "политика из коробки". Но незнание/неумение готовить делает не технологию плохой, а специалиста не компетентным в этом вопросе.
     
     
  • 2.47, Аноним (-), 20:45, 04/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильней сказать "selinux" малополезен в варианте "политика из коробки".

    Правильнее сказать что того же уровня изоляции можно достичь менее сложными методами чем это.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру