Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку (http://danwalsh.livejournal.com/56760.html) об особенностях использования механизма SELinux, написанную в ответ на статью (http://ptresearch.blogspot.com/2012/08/selinux-in-practice-d...) с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности SELinux как средства для блокирования уязвимостей или ошибок в конфигурации.

Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера.

URL: http://lwn.net/Articles/509438/rss
Новость: https://www.opennet.ru/opennews/art.shtml?num=34483