Реальный пример безопасности SELinux?

SELinux не обязательно о защите от хакеров; это о документировании и осуществлении политики для того, как система ведет себя. Это - инструмент на панели инструментов, которая ценна, но требует, чтобы навык использовал хорошо.

Реальный пример того, как это сохраняет Вас, является чем-то вроде этого:

Уязвимость в демоне FTP позволяет анонимному пользователю получать полномочия пользователя root. Взломщик использует ту уязвимость для корневых каталогов пользователя доступа и кражи закрытые ключи SSH, некоторые из которых не имеют пароля.

Если SELinux настроен для запрещения, "Позволяют сервисам ftp читать и писать файлы в пользовательской политике" корневых каталогов, использование не было бы успешно, и нарушение политики будет зарегистрировано.

Вот подробная запись атаки, которую SELinux остановил в своих треках, с лог-файлами и объяснением используемых методов криминалистики. Эта статья опубликована в Linux Journal:

http://www.linuxjournal.com/article/9176

Вот выдержка из начала:

Если вы работаете с серверами, подключенными к Интернету, есть шанс, что в конечном итоге вам придется иметь дело с успешной атакой. В прошлом году я обнаружил, что, несмотря на наличие многослойной защиты на тестовом Web-сервере (targetbox), злоумышленнику удалось использовать эксплойт в частично удачной попытке получить доступ. Этот сервер работал под управлением Red Hat Enterprise Linux 4 (RHEL 4) и системы управления контентом Mambo. На нем было установлено множество средств защиты, включая Security-Enhanced Linux (SELinux). SELinux не позволял злоумышленнику выполнить вторую стадию атаки, возможно, предотвращая root-компрометацию.

В этой статье представлен пример ответа на вторжение, объясняющий, как я обнаружил вторжение, какие шаги я предпринял для идентификации эксплойта, как я восстановился после атаки и какие уроки я усвоил в отношении безопасности системы. Я изменил имена машин и IP адреса из соображений конфиденциальности.