Mountando disco en raiz web... NO ME DA ACCESO WEB

Alvaro Herrera alvherre en alvh.no-ip.org
Mar Ago 29 09:29:11 CLT 2006


Patricio Gigoux escribió:

> Eso lo entendi, de hecho tuve el mismo problema hace un tiempo, la 
> pregunta va por el lado de conocer realmente cual es la importancia ola 
> utilidad de SELinux, si hablamos de seguridad, ahi encaja mi 
> argumentacion anterior, si es otra cosa ¿?

La utilidad de SELinux es que te protege quitando accesos que los
programas no necesitan.  Por ej. si se determina que el servidor web
solo necesita leer lo que esta almacenado en /var/www (o donde sea),
entonces cuando un cracker entre a tu servidor por un hoyo de seguridad
en el servidor web, lo unico que va a poder hacer es leer lo que esta en
/var/www.  No va a poder meterse a /home (por poner un ejemplo), aun
cuando los permisos "normales" (esos que cambias con chmod) de los
archivos lo permitan.

El modelo de restricciones y autorizaciones es bastante mas complejo que
eso obviamente, con el fin de permitir que cada subsistema (web,
servidor DNS, servidor de correo, que se yo) tenga acceso exactamente a
lo que necesita y nada mas.  Esto hace que manejar SELinux no sea para
principiantes.  Pero no es _tan_ dificil tampoco.

Las protecciones de seguridad no se implementan como una unica muralla
que limite con el exterior.  Es mucho mas efectivo poner varias barreras
entre tus recursos valiosos y los atacantes.  No seria necesario si no
hubiera ningun hoyo de seguridad ni en Apache, ni en PHP, ni en
Sendmail, ni en BIND, ni en SSH, etc.  Pero basta que uno de ellos tenga
un bug (cosa que sabemos que ha pasado multiples veces en la historia)
para que ya la primera barrera se venga abajo.  Y es en ese momento
cuando deseas tener la segunda ...

-- 
Alvaro Herrera                           Developer, http://www.PostgreSQL.org
Oh, oh, las chicas galacianas, lo harán por las perlas,
¡Y las de Arrakis por el agua! Pero si buscas damas
Que se consuman como llamas, ¡Prueba una hija de Caladan! (Gurney Halleck)


Más información sobre la lista de distribución Linux