dcsimg

驯服SELinux的技巧

SELinux为您应对明天的威胁做好了准备,但是要获得收益,您必须了解MAC安全模型。

 By 卡拉·施罗德
第页  |  返回第1页
卡拉·施罗德

关于SELinux(安全性增强Linux)有很多(几乎没有消息)的嗡嗡声。人们吹捧它做着各种可能做不到的奇妙事情。在不了解SELinux的用途和工作原理的情况下,跳入实现SELinux之类的复杂安全应用程序不是一个好主意,因此,我们将从基础知识入手。然后,我们将研究如何使用它,并实际了解我们在做什么。

可能的任务

SELinux是NSA(国家安全局)的一个研究项目。仅对已知威胁做出反应的旧模型有一个明显的明显缺点:您将被殴打很多。 SELinux背后的想法是保护系统不受未知因素的影响,并关闭零日漏洞利用的大门。

它并不是为了纠正Linux中的缺陷而设计的。它的工作是在不损害功能的情况下,尽可能狭窄地限制进程,甚至是超级用户进程。它通过强制执行强制访问控制(MAC)来实现。传统的Unix权限和所有权系统称为自由访问控制(DAC)。 DAC长期以来一直很好地为Unix服务,并且具有易于理解和使用的优点。但是,它允许用户对自己拥有的文件设置不安全的权限,并且超级用户没有任何限制。因此,攻击者的一种策略是利用诸如缓冲区溢出或未经验证的数据库输入之类的弱点升级到root用户。一旦有了根,就结束了。

DAC的另一个缺点是,用户可以运行的任何应用程序都具有与该用户相同的特权和访问权限。这意味着您运行的任何远程应用程序(例如Web浏览器或邮件客户端)都可以完全访问您所做的一切,包括个人数据文件。这就是为什么需要root权限的服务(例如网络服务)会尽快移交给特殊的非特权用户的原因。在过去,以root特权全天候运行的服务是流行的攻击途径。这就是为什么您不应该将所有服务转储到“ nobody”用户中,因为这会将所有这些服务公开给单个成功的入侵。每个服务应具有其自己的未共享的非特权用户。

但是在当今时代,不必为了获得邪恶行为而获得root特权,但是大多数安全方案的主要目的仍然是保护root。用户被认为是可有可无的,就像原始《星际迷航》系列中的红衫军一样。一个穿着红色衬衫的家伙一出现,您就知道他要在第二次商业休息之前敬酒。考虑一下—您的计算机上最重要的东西是什么?系统文件?您可以轻松地替换它们。攻击者可能仍想获取root特权,以便他们可以替换关键的系统二进制文件来掩盖自己的足迹。但是系统文件本身并不有价值。有价值的东西位于您的家和其他数据目录中。如果您要存储任何类型的敏感数据(例如,充满客户数据的数据库),那么攻击者便需要这样做。

侵入您系统的另一个当代原因是将其用作垃圾邮件转发器。攻击者不需要root用户特权。易受攻击的Windows计算机构成了已被加入全球僵尸网络的数百万台计算机的大部分。但是Linux不能幸免。垃圾邮件中有很多钱;它是有组织犯罪的动力,因为它是身份盗窃,DDoS勒索和其他形式欺诈中的第一个链接。它们中包含大量垃圾邮件,因此远程攻击正变得复杂且难以抵抗,这与以前的无字脚本小子以自家的Windows病毒为乐而绕过的过去不同。

SELinux政策

SELinux策略没有强大的超级用户的概念,只有允许的内容和不允许的内容。它消除了根的破坏力。成功的入侵将仅限于它破坏的过程,并且将无法升级。听起来有点像 chroot 入狱,不是吗?除了一个 chroot 并非安全设备,即使它通常被教导为安全设备,也从未打算成为安全设备。 chroot是用于分离服务,仅此而已,以便多个服务或用户可以共享同一系统而不会彼此跳得过多。例如,您可以运行HTTP服务器的多个单独实例,或安全地对许多开发环境进行沙箱处理。

有关chroot的更多信息

坚持定义?查看Webopedia:
 

SELinux使用灵活的策略,您可以针对不同情况进行调整。因此,您可能在通用工作站上有更宽松的策略,而在笔记本电脑上有更严格的策略。面向Internet的服务器可能非常严格地被锁定。不要忘记您的内部服务,因为大多数妥协都在工作内部。是的,好莱坞以丰富多彩,不切实际的时尚写照使我们着迷ü疯子们可以通过一些戏剧性的键盘音效闯入任何地方的任何系统,并大喊“我在!”外部攻击者更可能贿赂一些挨饿的,充满生气的永久性临时人员来获取他想要的东西,或者从挨饿的,充满怨恨的永久性临时工的搅拌车中窃取未加密的备份磁带,后者每天晚上都必须将它们带回家。 (这证明了物理安全性,对错误人员的过多访问权以及多年不雇用他们的临时人员,也是安全体系结构中的重要问题。)

自Fedora Core 2推出以来,Fedora Linux自2004年起就随SELinux一起提供。当时它实际上没有用,因为它附带了严格的“拒绝所有,按需允许”策略。对于通用操作系统而言,这实在是不舒服的选择。它太难使用了,因此大多数用户将其关闭。

FC3交付了使用 有针对性的政策。这是“允许所有人,根据需要拒绝”。默认策略限制了一组有限的过程,主要是接受传入连接的网络应用程序。后续的Fedora发行版包括用于配置SELinux的更好的userland工具和更完善的默认策略,我们将在下周进行介绍。

在此之前,请访问参考资料链接以获得关于SELinux的更多背景知识以及如何使用它。红帽和Fedora团队在SELinux上进行了大量工作,其中包括许多出色的文档。

资源资源

本文最初于2007年11月27日发布
通过网络更新新闻获取最新消息