2011年5月11日 星期三

SElinux很重要唷!保護工作進程的最後防線!

SElinux很重要唷!他是保護工作進程的最後防線!

以下是 SElinux 的一個現象!



這是某程序,想經過「 PPPd」寫入 ./resolv.conf 的背景!
但遭到SElinux 阻擋,而沒有成功!

這之前,我曾經故意用 Xen 虛擬一個沒有 SElinux 的 Linux 環境,來觀察駭客入侵現象!

發現這真的是一個「駭客入侵」,那個駭客!居然進來下指令破壞磁碟資料。


獲得這一點點的知覺!就是「PPPd」服務並不安全?

但若不用「PPPd」轉用其他專線?也同樣不安全!


沒 PPPd 人家就直接改你的 Route host 設置,連警告都沒有,就被置換 Route 數據,除非你有另外安裝「
Quagga」~~~「zebra~~之類的軟體?同樣被攻擊、入侵後!是啞巴?沒SElinux 警告回應?除非你設定警告回覆訊息!但那不會比 SElinux 來得省事。

有 PPPd + SElinux 還會發生警告!

以下一些重點的參數,被我換成
XXXXXXXX 但不影響大家理解問題。



Summary
SELinux is preventing pppd (pppd_t) "write" to ./resolv.conf (pppd_etc_t).
Detailed Description
SELinux denied access requested by pppd. It is notexpected that this access is required by pppd and this accessmay signal an intrusion attempt. It is also possible that the specificversion or configuration of the application is causing it to requireadditional access.
Allowing Access
Sometimes labeling problems can cause SELinux denials. You could try torestore the default system file context for ./resolv.conf,

restorecon -v './resolv.conf'

If this does not work, there is currently no automatic way to allow thisaccess. Instead, you can generate a local policy module to allow thisaccess - see FAQOr you can disable SELinux protection altogether. DisablingSELinux protection is not recommended.Please file a bug reportagainst this package.
Additional Information

Source Context:  system_u:system_r:pppd_t
Target Context:  root:object_r:pppd_etc_t
Target Objects:  ./resolv.conf [ file ]
Source:  pppd
Source Path:  /usr/sbin/pppd
Port:  <Unknown>
Host:  ishr.twbbs.org
Source RPM Packages:  ppp-2.4.4-2.el5
Target RPM Packages:
Policy RPM:  selinux-policy-2.4.6-279.el5
Selinux Enabled:  True
Policy Type:  targeted
MLS Enabled:  True
Enforcing Mode:  Enforcing
Plugin Name:  catchall_file
Host Name:  ishr.twbbs.org
Platform:  Linux ishr.twbbs.org 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:35 EDT 2010 i686 i686
Alert Count:  1
First Seen:  Wed May 11 03:54:53 2011
Last Seen:  Wed May 11 03:54:53 2011
Local ID:  XXXXXXXXXXXXXXXXXXX
Line Numbers: XXXXXXXXXXXXXXXXXXX

Raw Audit Messages:

host=ishr.twbbs.org type=AVC

msg=audit(XXXXXXXXXXXXX): avc: denied { write } for pid=XXXX comm="pppd"

name="resolv.conf" dev=dm-0 ino=XXXXXXXXX

scontext=system_u:system_r:pppd_t:s0 tcontext=root:object_r:pppd_etc_t:s0
tclass=file host=ishr.twbbs.org type=
XXXXXXXX

msg=audit(
XXXXXXXXXXXX): arch=XXXXXXXX
syscall=5
success=no
exit=-13
a0=1eb7c6 a1=
XXXXXXXXXXXXXXXX
a2=1b6 a3=XXXXXXXXXXXXXXXX
items=0 ppid=2131
pid=XXXX
auid=
XXXXXXXX
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=XXXXXXXXX
comm="pppd" exe="/usr/sbin/pppd" subj=system_u:system_r:pppd_t:s0 key=(null) 

沒有留言:

張貼留言

※※ 這樣內容,上手會困難嗎?※※ 我想到什麼?就寫什麼!※※

※對於資訊!我想到什麼?就寫什麼!

如果困難的話?
歡迎來信討論或發表意見,我會儘快回覆。

也歡迎來 YAHOO 知識家,集思廣益!

我的YAHOO 知識家 首頁:
Yahoo 知識+ 2013年改版前 (網域似乎已作廢)
YAHOO 知識家+ 2013年改版後

有需要技術文件 DarkMan 蒐集了不少!
存在FTP共享。想下載?請洽DarkMan信箱取得下載帳號。※

(-.-)

我承認.....從西元2000年後,就沒有在「Grey Hat」過了?

況且,我們沒去玩弄中華電信的小烏龜.....我是安分守己的宅男
當然?駭客技術,是一種私下傳授的「奧義」,並不適合廣為人們學習!
畢竟,這樣多學習資訊的人?都被隔離~又隔離~切割~又切割~之後?
沒幾個能夠將「資訊整體」一窺全豹,自然沒有人,在資訊能力上,具有健全的行為。
至此,不少人都只懂得一部分?甚至更慘,活在一般資訊下,難以突破!

請散播更多Dark Man 的訊息!
DarkMan專用信箱darkman@ishr.twbbs.org
Mail 伺服器?遷移中!施工期間!有諸多不便!近請見諒!
"人資系統的黑暗人" http://hr-no.blogspot.com "
微軟免費「免費防毒軟體」
微軟免費「間諜攻擊防護」

Dark Man 對於擁有「技術、技能、軟體、硬體、平台」並不自大,而是更加的重視「自我約束、安全管理」,曾幾何時?那些對「職能素養」相當重視的人,都一一退出職場;留下的只是「自我膨脹、爭名奪利」的人。

重視職能達成的人?會否越來越不容易工作;除了要應付工作之餘?

還要去面對「自我膨脹、爭名奪利」之輩.......這是「極其惡意」的事情,為何?仍要這樣去組織「職場環境」,就因為「權大通天、利大遮事」嗎?

這裡講述到的「軟體平台」,沒有花一定的時間去熟悉,是不可能深入,也不可能順利操作,有興趣的人,要多花時間投入,才能夠掌握網路運用。