Alguém pode dar um exemplo real de onde o SELinux salvou seu bacon de segurança? (ou AppArmour, se desejar). Se não o seu próprio, um ponteiro para alguém com uma experiência credível?
Não é um teste de laboratório, nem um white paper, nem uma prática recomendada, nem uma recomendação do CERT, mas um exemplo real, algo como o audit2with mostrando uma verdadeira tentativa de hacking parou em suas trilhas?
(Se você não tem nenhum exemplo, por favor, mantenha comentários nos comentários em vez de respostas.)
Obrigado!
Que tal isso de Russell Coker ? É um exemplo da vida real, pois ele convidou todos para sua máquina como root. À primeira vista, achei que isso era maluco, mas aí você percebe o poder do SELinux de tornar a raiz um pouco inútil.
Aqui estão alguns exemplos reais do seu site.
O SELinux não é necessariamente sobre proteção contra hackers; trata-se de documentar e impor a política de como um sistema se comporta. É uma ferramenta na caixa de ferramentas que é valiosa, mas requer habilidade para usar bem.
Um exemplo da vida real de como você economiza é algo assim:
A vulnerability in an FTP daemon allows an anonymous user to gain root privileges. An attacker uses that vulnerability to access user home directories and steal SSH private keys, some of which do not have a passphrase.
Se o SELinux estiver configurado para desabilitar a política "Permitir que serviços FTP leiam e gravem arquivos em diretórios pessoais de usuários", a exploração não será bem-sucedida e a violação da política será registrada.
Aqui está uma descrição detalhada de um ataque que o SELinux parou em suas trilhas, com detalhes de log e uma explicação das técnicas forenses usadas. Eu tenho este artigo publicado no Linux Journal:
Aqui está um trecho do começo:
If you operate Internet-connected servers, chances are you eventually will have to deal with a successful attack. Last year, I discovered that despite the multilayered defenses in place on a test Web server (targetbox), an attacker had managed to use an exploit in a partially successful attempt to gain access. This server was running Red Hat Enterprise Linux 4 (RHEL 4) and the Mambo content management system. It had multiple defenses in place, including Security-Enhanced Linux (SELinux). SELinux prevented the attacker from executing the second stage of the attack, possibly preventing a root compromise.
This article presents a case study of the intrusion response, explaining how I discovered the intrusion, what steps I took to identify the exploit, how I recovered from the attack and what lessons I learned regarding system security. I've changed machine names and IP addresses for privacy reasons.