Ví dụ bảo mật Selinux ngoài đời thực?

Bất cứ ai cũng có thể đưa ra một ví dụ thực tế về nơi mà Selinux đã lưu thịt xông khói bảo mật của họ? (hoặc AppArmour nếu bạn muốn). Nếu không phải của riêng bạn, một con trỏ đến một người có kinh nghiệm đáng tin cậy?

Không phải thử nghiệm trong phòng thí nghiệm, không phải là một tờ giấy trắng, không phải là một thực tiễn tốt nhất, không phải là một lời khuyên CERT, mà là một ví dụ thực tế, một cái gì đó như aud2why cho thấy một nỗ lực hack thực sự đã dừng lại trong các bài hát của nó?

(Nếu bạn không có ví dụ, vui lòng tiếp tục bình luận thay vì Trả lời.)

Cảm ơn!

Làm thế nào về điều này từ Russell Coker ? Đó là một ví dụ thực tế khi anh ấy mời mọi người vào máy của mình làm root. Thoạt nhìn tôi nghĩ đây là một loại hạt nhưng sau đó bạn nhận ra sức mạnh của SELinux để khiến cho phần gốc trở nên vô dụng.

Dưới đây là một số ví dụ thực tế từ trang web của mình.

SELinux không nhất thiết phải bảo vệ khỏi tin tặc; đó là về tài liệu và thực thi chính sách về cách thức hoạt động của một hệ thống. Đó là một công cụ trong hộp công cụ có giá trị, nhưng đòi hỏi kỹ năng sử dụng tốt.

Một ví dụ thực tế về cách nó cứu bạn là như thế này:

Một lỗ hổng trong trình nền FTP cho phép người dùng ẩn danh có được quyền root. Kẻ tấn công sử dụng lỗ hổng đó để truy cập các thư mục nhà của người dùng và đánh cắp các khóa riêng của SSH, một số trong đó không có cụm mật khẩu.

Nếu SELinux được định cấu hình để không cho phép chính sách "Cho phép dịch vụ ftp đọc và ghi tệp trong thư mục nhà của người dùng", việc khai thác sẽ không thành công và vi phạm chính sách sẽ được ghi lại.

Đây là một bản viết chi tiết về một cuộc tấn công mà SELinux dừng lại trong các bài hát của nó, với các chi tiết nhật ký và giải thích về các kỹ thuật pháp y được sử dụng. Tôi đã nhận được bài viết này được xuất bản trong Tạp chí Linux:

http://www.linuxjournal.com/article/9176

Đây là một đoạn trích từ đầu:

Nếu bạn vận hành các máy chủ kết nối Internet, rất có thể cuối cùng bạn sẽ phải đối phó với một cuộc tấn công thành công. Năm ngoái, tôi phát hiện ra rằng mặc dù có hệ thống phòng thủ nhiều lớp trên máy chủ Web thử nghiệm (hộp mục tiêu), một kẻ tấn công đã quản lý để sử dụng khai thác trong nỗ lực thành công một phần để giành quyền truy cập. Máy chủ này đang chạy Red Hat Enterprise Linux 4 (RHEL 4) và hệ thống quản lý nội dung Mambo. Nó có nhiều hệ thống phòng thủ tại chỗ, bao gồm cả Linux được tăng cường bảo mật (SELinux). SELinux ngăn chặn kẻ tấn công thực hiện giai đoạn thứ hai của cuộc tấn công, có thể ngăn chặn sự thỏa hiệp gốc.

Bài viết này trình bày một nghiên cứu trường hợp về phản ứng xâm nhập, giải thích cách tôi phát hiện ra sự xâm nhập, những bước tôi đã thực hiện để xác định khai thác, cách tôi phục hồi sau cuộc tấn công và những bài học tôi học được về bảo mật hệ thống. Tôi đã thay đổi tên máy và địa chỉ IP vì lý do riêng tư.