Patricio Gigoux escribió: > Eso lo entendi, de hecho tuve el mismo problema hace un tiempo, la > pregunta va por el lado de conocer realmente cual es la importancia ola > utilidad de SELinux, si hablamos de seguridad, ahi encaja mi > argumentacion anterior, si es otra cosa ¿?
La utilidad de SELinux es que te protege quitando accesos que los programas no necesitan. Por ej. si se determina que el servidor web solo necesita leer lo que esta almacenado en /var/www (o donde sea), entonces cuando un cracker entre a tu servidor por un hoyo de seguridad en el servidor web, lo unico que va a poder hacer es leer lo que esta en /var/www. No va a poder meterse a /home (por poner un ejemplo), aun cuando los permisos "normales" (esos que cambias con chmod) de los archivos lo permitan. El modelo de restricciones y autorizaciones es bastante mas complejo que eso obviamente, con el fin de permitir que cada subsistema (web, servidor DNS, servidor de correo, que se yo) tenga acceso exactamente a lo que necesita y nada mas. Esto hace que manejar SELinux no sea para principiantes. Pero no es _tan_ dificil tampoco. Las protecciones de seguridad no se implementan como una unica muralla que limite con el exterior. Es mucho mas efectivo poner varias barreras entre tus recursos valiosos y los atacantes. No seria necesario si no hubiera ningun hoyo de seguridad ni en Apache, ni en PHP, ni en Sendmail, ni en BIND, ni en SSH, etc. Pero basta que uno de ellos tenga un bug (cosa que sabemos que ha pasado multiples veces en la historia) para que ya la primera barrera se venga abajo. Y es en ese momento cuando deseas tener la segunda ... -- Alvaro Herrera Developer, http://www.PostgreSQL.org Oh, oh, las chicas galacianas, lo harán por las perlas, ¡Y las de Arrakis por el agua! Pero si buscas damas Que se consuman como llamas, ¡Prueba una hija de Caladan! (Gurney Halleck) From [EMAIL PROTECTED] Tue Aug 29 12:07:12 2006 From: [EMAIL PROTECTED] (Patricio Gigoux) Date: Tue Aug 29 11:59:09 2006 Subject: Mountando disco en raiz web... NO ME DA ACCESO WEB In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Alvaro Herrera escribió: > Patricio Gigoux escribió: > > >> Eso lo entendi, de hecho tuve el mismo problema hace un tiempo, la >> pregunta va por el lado de conocer realmente cual es la importancia ola >> utilidad de SELinux, si hablamos de seguridad, ahi encaja mi >> argumentacion anterior, si es otra cosa ¿? >> > > La utilidad de SELinux es que te protege quitando accesos que los > programas no necesitan. Por ej. si se determina que el servidor web > solo necesita leer lo que esta almacenado en /var/www (o donde sea), > entonces cuando un cracker entre a tu servidor por un hoyo de seguridad > en el servidor web, lo unico que va a poder hacer es leer lo que esta en > /var/www. No va a poder meterse a /home (por poner un ejemplo), aun > cuando los permisos "normales" (esos que cambias con chmod) de los > archivos lo permitan. > > El modelo de restricciones y autorizaciones es bastante mas complejo que > eso obviamente, con el fin de permitir que cada subsistema (web, > servidor DNS, servidor de correo, que se yo) tenga acceso exactamente a > lo que necesita y nada mas. Esto hace que manejar SELinux no sea para > principiantes. Pero no es _tan_ dificil tampoco. > > Las protecciones de seguridad no se implementan como una unica muralla > que limite con el exterior. Es mucho mas efectivo poner varias barreras > entre tus recursos valiosos y los atacantes. No seria necesario si no > hubiera ningun hoyo de seguridad ni en Apache, ni en PHP, ni en > Sendmail, ni en BIND, ni en SSH, etc. Pero basta que uno de ellos tenga > un bug (cosa que sabemos que ha pasado multiples veces en la historia) > para que ya la primera barrera se venga abajo. Y es en ese momento > cuando deseas tener la segunda ... > > Gracias ahora me queda mas claro, pero me asalta una sola duda, hace un timpo ya hubo un bug en sendmail que permitia al atacante botarlo y quedar en la maquina como root, en ese caso, SELinux contempla que como root este atacante, no pueda a su vez, ya sea desactivar o cambiar la configuracion de SELinux para lograr sus objetivos?? Gracias -- This message was scanned for spam and viruses by BitDefender. For more information please visit http://linux.bitdefender.com/
