Рекомендации по использованию SELinux для защиты web-сервера

Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку об особенностях использования механизма SELinux, написанную в ответ на статью с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности SELinux как средства для блокирования уязвимостей или ошибок в конфигурации.

Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера.

Полный текст статьи читайте на OpenNet