Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку (http://danwalsh.livejournal.com/56760.html) об особенностях использования механизма SELinux, написанную в ответ на статью (http://ptresearch.blogspot.com/2012/08/selinux-in-practice-d...) с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности SELinux как средства для блокирования уязвимостей или ошибок в конфигурации.

Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера.

URL: http://lwn.net/Articles/509438/rss
Новость: http://www.opennet.me/opennews/art.shtml?num=34483

• Рекомендации по использованию SELinux для защиты web-сервера,AlexYeCu, 17:08 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,anonymous, 17:12 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 17:25 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Ы, 17:30 , 03-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,AlexYeCu, 17:32 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Ы, 17:55 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:37 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,anonymous, 17:52 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 18:15 , 03-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,Andrew Kolchoogin, 18:04 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,pavlinux, 18:23 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 18:28 , 03-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,Andrey Mitrofanov, 18:38 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:37 , 03-Авг-12
        • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:43 , 03-Авг-12
          • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:50 , 03-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:57 , 03-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 21:49 , 03-Авг-12
          • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 20:36 , 04-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Ytch, 22:50 , 04-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:40 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:46 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,коксюзер, 23:48 , 03-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 23:55 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 20:37 , 04-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 18:23 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,pavlinux, 18:26 , 03-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 18:29 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:36 , 03-Авг-12
        • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:40 , 03-Авг-12
          • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:45 , 03-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:51 , 03-Авг-12
              • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:57 , 03-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,selinux, 18:31 , 03-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Andrey Mitrofanov, 18:40 , 03-Авг-12
    • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 19:54 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,pavlinux, 20:54 , 03-Авг-12
      • Рекомендации по использованию SELinux для защиты web-сервера,saNdro, 21:00 , 03-Авг-12
        • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 21:12 , 03-Авг-12
          • Рекомендации по использованию SELinux для защиты web-сервера,тигар, 22:14 , 03-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 20:44 , 04-Авг-12
          • Рекомендации по использованию SELinux для защиты web-сервера,Евгений Н, 02:29 , 04-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 03:05 , 04-Авг-12
            • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 03:08 , 04-Авг-12
              • Рекомендации по использованию SELinux для защиты web-сервера,Ytch, 22:56 , 04-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,kuku, 20:25 , 03-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,YetAnotherOnanym, 23:13 , 03-Авг-12
• Рекомендации по использованию SELinux для защиты web-сервера,mma, 12:49 , 04-Авг-12
  • Рекомендации по использованию SELinux для защиты web-сервера,Аноним, 20:45 , 04-Авг-12

Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

Это раньше, в докомпьютерную эпоху срабатывало. Сейчас не человек будет тебя ломать, а бот, ему все равно важен ты или нет, его дело попытаться, если прокатит - отзвониться в центр, там другой бот решит на основании эвристики что с тобой делать, вне зависимости от твоей важности.

> Я, конечно, не специалист по Linux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

Не стесняйтесь, скажите прямо.

>Я, конечно, не специалист

А зачем тогда постить своё "что-то мне кажется" ... думаешь хоть кого то волнует?
Это ты доктору своему расскажи, может спасут ещё :)

Ну тебя ж вот взволновало.

Мне - можно, меня уже не спасут! :)

> Ну тебя ж вот взволновало.

Он у нас вообще весь волнительный такой.

Ты действительно неспециалист.

>  Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

Буквы "se" в вашем утверждении, очевидно, опечатка?

Ну да, Ермаков, конечно, отжог аццки.

Всем специалистам по системной безопасности, а также тем, кто себя к таковым причисляет (правомерно или не очень), следует вбить себе киянкой в голову следующий факт: не существует и никогда не будет существовать ни программного, ни аппаратного, ни комплексного решения, которое из несекурного софта (или оборудования) сделает секурное.

При помощи различных ИБ'шных решений можно более или менее (в зависимости от решения) _ограничить_ последствия атаки интрудера. Если ИБ'шное решение _очень_ хорошее, то ограничить до такой степени, что атака станет бессмысленной (вряд ли кому-то понадобится shell, который на любую попытку запустить внешний бинарник будет отвечать "permission denied").

Но секурным софт (оборудование) всё равно не станет. Dixi.

> не существует и никогда не будет существовать ни программного, ни аппаратного,
> ни комплексного решения, которое из несекурного софта (иоборудования) сделает секурное.

Слишком громкие, бесполеные и не профессиоанльные заявления. Сам найдёшь причину?

Кто такое Ермаков и кто такое Dixi?

> Кто такое Ермаков и кто такое Dixi?

Пройдите! http://en.wikipedia.org/wiki/%D0%95%D1%8... http://en.wikipedia.org/wiki/Dixi

Ниочем.

> Ниочем.

Наоборот, очень содержательно.
Первая ссылка сообщает, что относящийся к теме обсуждения носитель фамилии Еркмаков - никто (ведь в википедии его нет).
А вторая ссылка вполне доступно рассказывает, что такое Dixi. Правда, тот, кто кидал ссылку, не учел вашей неприязни к иностранным языкам.

А теперь посмотрите на комментарий №21. Чувствуете разницу?

Опеннет превратился в двач, как бы мерзко это не звучало.

> А теперь посмотрите на комментарий №21. Чувствуете разницу?

Дык я же его и писал :)

> А теперь посмотрите на комментарий №21. Чувствуете разницу?
> Опеннет превратился в двач, как бы мерзко это не звучало.

Абы не в сосач.

Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.

> Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.

Не! Круто это рок-команда из Боливии и барабанщик "Черного Обелиска". ))

> Кто такое Ермаков и кто такое Dixi?

Ермаков - это такой ламер из ламерской конторки positive technologies.
Dixi - это такое латинское слово, аналог exit 0 в скриптах.

Очем.

> Всем специалистам по системной безопасности, а также тем, кто себя к таковым
> причисляет (правомерно или не очень), следует вбить себе киянкой в голову

Вы слишком много на себя берёте.

Ну должен же кто-то исполнять обязанности Капитана Очевидность.

> Ну должен же кто-то исполнять обязанности Капитана Очевидность.

Какой-то очень унылый комиссар получилс.

> This boolean allows apache to communicate with the avahi daemon over DBUS.  This boolean should have been disabled by default, but most likely does not add much risk.  It is turned off by default in Fedora and RHEL7.
> RHEL7.

Я хочу себе такую же машину времени.

> Я хочу себе такую же машину времени.

И чё там нового будет? Очередной linux kernel + glibc, иль что-то придумали ещё?

systemd + Gnome 3

Ради этого стоит ждать.

> Gnome 3

Вы так беспокоитесь из-за десктопной среды серверного дистрибутива?

Я беспокоюсь <b>В ПРИНЦИПЕ</b>.

> Я беспокоюсь <b>В ПРИНЦИПЕ</b>.

В таком случае, рекомендую настойку валерианы на ночь.

Я лучше стакан водаса хряпну да черного ворона спою.

Тоже вариант.

У меня вообще не ассоциируется безопасность и Apache. Apache - это для новичков, "все-в-одном", но для безопасной системы нужно что-то полегче и попроще, например lighttpd, nginx и подобное.

>вообще не ассоциируется безопасность и Apache.
>nginx и подобное.

Да, жиникс хорош. Подростает! Версия 2.2 будет "как апач"::))

> Подростает!

и в этом весь opennet

А я уйду, обид не замечая, конфетку шоколадную жуя...
И пусть тебя полюбит лошадь злая, а не такое солнышко как я.

Да. Он (opennet) не расчитан на тех, кто юмор не понимает.

Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20% такой юмор... ну, типа съязвить на тему микрософта, а другие начинают подыгрывать и бешено плюсовать. Секта непричесанных "одминов".

ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

> Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20%
> такой юмор... ну, типа съязвить на тему микрософта, а другие начинают
> подыгрывать и бешено плюсовать. Секта непричесанных "одминов".
> ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

нет ничего суровее анонимного кармафапера, да...

> нет ничего суровее анонимного кармафапера, да...

А как же неанонимные ламеры?

Вообще я как бы согласен. С другой стороны, такая здравая мысль, в том числе и ко мне:

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Знаний не хватает? Ну тогда и не жужжи.

;)

Позволю несколько перефразировать.

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсира

Прошу прощения за предыдущий неудавшийся комментарий. Вот исправленная и дополненная версия.

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсирай майкрософт и яросно минусуй всех, кто имеет мнение отличное от мнения 95% населения.

> Прошу прощения за предыдущий неудавшийся комментарий. Вот исправленная и дополненная версия.

Да можно было и оставить только "неудавшийся". Многие бы легко догадались о недосказанном ))

я думаю для начала, чтобы судить о безопасности,
надо разобраться о механизмах изолирования задач
в многозадачной среде...
потом посмотреть как влияет система пользовательских
прав...
ещё IPC...

то есть надо бы провести аудит исходных текстов в
этих механизмах...

а может в этих областях неправильная организация ?

"простое многого нетребует..."

> провести аудит исходных текстов в этих механизмах

Расследование показало, что причиной пожара стало возгорание противопожарной системы.

Правильней сказать "selinux" малополезен в варианте "политика из коробки". Но незнание/неумение готовить делает не технологию плохой, а специалиста не компетентным в этом вопросе.

> Правильней сказать "selinux" малополезен в варианте "политика из коробки".

Правильнее сказать что того же уровня изоляции можно достичь менее сложными методами чем это.