如果您操作连接 Internet 的服务器,那么您最终可能不得不应对成功的攻击。去年,我发现尽管在测试 Web 服务器 (targetbox) 上设置了多层防御措施,但攻击者还是设法使用了一个漏洞,部分成功地尝试获取访问权限。该服务器运行 Red Hat Enterprise Linux 4 (RHEL 4) 和 Mambo 内容管理系统。它有多种防御措施,包括安全增强型 Linux (SELinux)。SELinux 阻止了攻击者执行第二阶段的攻击,可能阻止了 root 入侵。
本文介绍了入侵响应的案例研究,解释了我是如何发现入侵的、我采取了哪些步骤来识别漏洞、我如何从攻击中恢复以及我在系统安全方面学到了哪些经验教训。出于隐私原因,我更改了机器名称和 IP 地址。
Russell Coker的这个怎么样?这是一个真实的例子,因为他邀请所有人以 root 身份进入他的机器。乍一看,我认为这很疯狂,但后来你意识到 SELinux 的强大功能使 root 有点无用。
以下是他网站上的一些真实例子。
SELinux 不一定是为了保护免受黑客攻击。它是关于记录和执行系统行为方式的策略。它是工具箱中有价值的工具,但需要技巧才能很好地使用。
它如何拯救你的一个真实的例子是这样的:
如果 SELinux 配置为禁止“允许 ftp 服务读取和写入用户主目录中的文件”策略,则漏洞利用将不会成功,并且会记录违反策略的行为。
这是 SELinux 阻止的攻击的详细记录,包括日志详细信息和所使用的取证技术的解释。我在 Linux Journal 上发表了这篇文章:
http://www.linuxjournal.com/article/9176
这是开头的摘录: