The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Рекомендации по использованию SELinux для защиты web-сервера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от opennews (ok) on 03-Авг-12, 17:08 
Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку (http://danwalsh.livejournal.com/56760.html) об особенностях использования механизма SELinux, написанную в ответ на статью (http://ptresearch.blogspot.com/2012/08/selinux-in-practice-d...) с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности SELinux как средства для блокирования уязвимостей или ошибок в конфигурации.

Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера.

URL: http://lwn.net/Articles/509438/rss
Новость: https://www.opennet.ru/opennews/art.shtml?num=34483

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Рекомендации по использованию SELinux для защиты web-сервера"  –13 +/
Сообщение от AlexYeCu (ok) on 03-Авг-12, 17:08 
Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Рекомендации по использованию SELinux для защиты web-сервера"  +3 +/
Сообщение от anonymous (??) on 03-Авг-12, 17:12 
Это раньше, в докомпьютерную эпоху срабатывало. Сейчас не человек будет тебя ломать, а бот, ему все равно важен ты или нет, его дело попытаться, если прокатит - отзвониться в центр, там другой бот решит на основании эвристики что с тобой делать, вне зависимости от твоей важности.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Рекомендации по использованию SELinux для защиты web-сервера"  +6 +/
Сообщение от Аноним (??) on 03-Авг-12, 17:25 
> Я, конечно, не специалист по Linux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

Не стесняйтесь, скажите прямо.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Ы on 03-Авг-12, 17:30 
>Я, конечно, не специалист

А зачем тогда постить своё "что-то мне кажется" ... думаешь хоть кого то волнует?
Это ты доктору своему расскажи, может спасут ещё :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от AlexYeCu (ok) on 03-Авг-12, 17:32 
Ну тебя ж вот взволновало.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от Ы on 03-Авг-12, 17:55 
Мне - можно, меня уже не спасут! :)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:37 
> Ну тебя ж вот взволновало.

Он у нас вообще весь волнительный такой.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Рекомендации по использованию SELinux для защиты web-сервера"  +9 +/
Сообщение от anonymous (??) on 03-Авг-12, 17:52 
Ты действительно неспециалист.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Рекомендации по использованию SELinux для защиты web-сервера"  +4 +/
Сообщение от Аноним (??) on 03-Авг-12, 18:15 
>  Я, конечно, не специалист по selinux, но что-то мне кажется, что единственный способ, которым он может защитить систему и данные, является то обстоятельство, что взломщик об него мараться побрезгует.

Буквы "se" в вашем утверждении, очевидно, опечатка?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Рекомендации по использованию SELinux для защиты web-сервера"  +2 +/
Сообщение от Andrew Kolchoogin on 03-Авг-12, 18:04 
Ну да, Ермаков, конечно, отжог аццки.

Всем специалистам по системной безопасности, а также тем, кто себя к таковым причисляет (правомерно или не очень), следует вбить себе киянкой в голову следующий факт: не существует и никогда не будет существовать ни программного, ни аппаратного, ни комплексного решения, которое из несекурного софта (или оборудования) сделает секурное.

При помощи различных ИБ'шных решений можно более или менее (в зависимости от решения) _ограничить_ последствия атаки интрудера. Если ИБ'шное решение _очень_ хорошее, то ограничить до такой степени, что атака станет бессмысленной (вряд ли кому-то понадобится shell, который на любую попытку запустить внешний бинарник будет отвечать "permission denied").

Но секурным софт (оборудование) всё равно не станет. Dixi.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от pavlinux (ok) on 03-Авг-12, 18:23 
> не существует и никогда не будет существовать ни программного, ни аппаратного,
> ни комплексного решения, которое из несекурного софта (иоборудования) сделает секурное.

Слишком громкие, бесполеные и не профессиоанльные заявления. Сам найдёшь причину?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Рекомендации по использованию SELinux для защиты web-сервера"  –1 +/
Сообщение от Аноним (??) on 03-Авг-12, 18:28 
Кто такое Ермаков и кто такое Dixi?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Andrey Mitrofanov on 03-Авг-12, 18:38 
> Кто такое Ермаков и кто такое Dixi?

Пройдите! http://en.wikipedia.org/wiki/%D0%95%D1%8... http://en.wikipedia.org/wiki/Dixi

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:37 
Ниочем.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:43 
> Ниочем.

Наоборот, очень содержательно.
Первая ссылка сообщает, что относящийся к теме обсуждения носитель фамилии Еркмаков - никто (ведь в википедии его нет).
А вторая ссылка вполне доступно рассказывает, что такое Dixi. Правда, тот, кто кидал ссылку, не учел вашей неприязни к иностранным языкам.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:50 
А теперь посмотрите на комментарий №21. Чувствуете разницу?

Опеннет превратился в двач, как бы мерзко это не звучало.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:57 
> А теперь посмотрите на комментарий №21. Чувствуете разницу?

Дык я же его и писал :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 21:49 
> А теперь посмотрите на комментарий №21. Чувствуете разницу?
> Опеннет превратился в двач, как бы мерзко это не звучало.

Абы не в сосач.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 20:36 
Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

49. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Ytch on 04-Авг-12, 22:50 
> Да, какой-то комиссар большевиков и производитель биотуалетов. Круто.

Не! Круто это рок-команда из Боливии и барабанщик "Черного Обелиска". ))

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

21. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:40 
> Кто такое Ермаков и кто такое Dixi?

Ермаков - это такой ламер из ламерской конторки positive technologies.
Dixi - это такое латинское слово, аналог exit 0 в скриптах.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:46 
Очем.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

38. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от коксюзер on 03-Авг-12, 23:48 
> Всем специалистам по системной безопасности, а также тем, кто себя к таковым
> причисляет (правомерно или не очень), следует вбить себе киянкой в голову

Вы слишком много на себя берёте.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

39. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 23:55 
Ну должен же кто-то исполнять обязанности Капитана Очевидность.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

45. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 20:37 
> Ну должен же кто-то исполнять обязанности Капитана Очевидность.

Какой-то очень унылый комиссар получилс.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

11. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 18:23 
> This boolean allows apache to communicate with the avahi daemon over DBUS.  This boolean should have been disabled by default, but most likely does not add much risk.  It is turned off by default in Fedora and RHEL7.
> RHEL7.

Я хочу себе такую же машину времени.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от pavlinux (ok) on 03-Авг-12, 18:26 
> Я хочу себе такую же машину времени.

И чё там нового будет? Очередной linux kernel + glibc, иль что-то придумали ещё?


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 18:29 
systemd + Gnome 3

Ради этого стоит ждать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:36 
> Gnome 3

Вы так беспокоитесь из-за десктопной среды серверного дистрибутива?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:40 
Я беспокоюсь <b>В ПРИНЦИПЕ</b>.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Рекомендации по использованию SELinux для защиты web-сервера"  +2 +/
Сообщение от Аноним (??) on 03-Авг-12, 19:45 
> Я беспокоюсь <b>В ПРИНЦИПЕ</b>.

В таком случае, рекомендую настойку валерианы на ночь.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:51 
Я лучше стакан водаса хряпну да черного ворона спою.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:57 
Тоже вариант.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

15. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от selinux on 03-Авг-12, 18:31 
У меня вообще не ассоциируется безопасность и Apache. Apache - это для новичков, "все-в-одном", но для безопасной системы нужно что-то полегче и попроще, например lighttpd, nginx и подобное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Andrey Mitrofanov on 03-Авг-12, 18:40 
>вообще не ассоциируется безопасность и Apache.
>nginx и подобное.

Да, жиникс хорош. Подростает! Версия 2.2 будет "как апач"::))

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 03-Авг-12, 19:54 
> Подростает!

и в этом весь opennet

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от pavlinux (ok) on 03-Авг-12, 20:54 
А я уйду, обид не замечая, конфетку шоколадную жуя...
И пусть тебя полюбит лошадь злая, а не такое солнышко как я.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от saNdro on 03-Авг-12, 21:00 
Да. Он (opennet) не расчитан на тех, кто юмор не понимает.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Рекомендации по использованию SELinux для защиты web-сервера"  +4 +/
Сообщение от Аноним (??) on 03-Авг-12, 21:12 
Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20% такой юмор... ну, типа съязвить на тему микрософта, а другие начинают подыгрывать и бешено плюсовать. Секта непричесанных "одминов".

ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "Рекомендации по использованию SELinux для защиты web-сервера"  –1 +/
Сообщение от тигар (ok) on 03-Авг-12, 22:14 
> Здесь 80% юмор не понимают. Только минусы херачат. А у оставшихся 20%
> такой юмор... ну, типа съязвить на тему микрософта, а другие начинают
> подыгрывать и бешено плюсовать. Секта непричесанных "одминов".
> ЗЫ: С нетерпением жду вашего гнева и кучи минусов за воротник.

нет ничего суровее анонимного кармафапера, да...

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

46. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 20:44 
> нет ничего суровее анонимного кармафапера, да...

А как же неанонимные ламеры?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Евгений Н email on 04-Авг-12, 02:29 
Вообще я как бы согласен. С другой стороны, такая здравая мысль, в том числе и ко мне:

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Знаний не хватает? Ну тогда и не жужжи.

;)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 03:05 
Позволю несколько перефразировать.

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсира

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 03:08 
Прошу прощения за предыдущий неудавшийся комментарий. Вот исправленная и дополненная версия.

Хочешь такого общения, как с нобелевскими лауреатами? - Читай их публикации и рецензируй. Не можешь? Тогда пиши всякое дерьмо на лоре и опеннете, обсирай майкрософт и яросно минусуй всех, кто имеет мнение отличное от мнения 95% населения.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Ytch on 04-Авг-12, 22:56 
> Прошу прощения за предыдущий неудавшийся комментарий. Вот исправленная и дополненная версия.

Да можно было и оставить только "неудавшийся". Многие бы легко догадались о недосказанном ))

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

31. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от kuku on 03-Авг-12, 20:25 
я думаю для начала, чтобы судить о безопасности,
надо разобраться о механизмах изолирования задач
в многозадачной среде...
потом посмотреть как влияет система пользовательских
прав...
ещё IPC...

то есть надо бы провести аудит исходных текстов в
этих механизмах...

а может в этих областях неправильная организация ?

"простое многого нетребует..."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Рекомендации по использованию SELinux для защиты web-сервера"  +1 +/
Сообщение от YetAnotherOnanym on 03-Авг-12, 23:13 
> провести аудит исходных текстов в этих механизмах

Расследование показало, что причиной пожара стало возгорание противопожарной системы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от mma on 04-Авг-12, 12:49 
Правильней сказать "selinux" малополезен в варианте "политика из коробки". Но незнание/неумение готовить делает не технологию плохой, а специалиста не компетентным в этом вопросе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Рекомендации по использованию SELinux для защиты web-сервера"  +/
Сообщение от Аноним (??) on 04-Авг-12, 20:45 
> Правильней сказать "selinux" малополезен в варианте "политика из коробки".

Правильнее сказать что того же уровня изоляции можно достичь менее сложными методами чем это.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру