Mountando disco en raiz web... NO ME DA ACCESO WEB
Patricio Gigoux
pgigoux en munistgo.cl
Mar Ago 29 12:07:12 CLT 2006
Alvaro Herrera escribió:
> Patricio Gigoux escribió:
>
>
>> Eso lo entendi, de hecho tuve el mismo problema hace un tiempo, la
>> pregunta va por el lado de conocer realmente cual es la importancia ola
>> utilidad de SELinux, si hablamos de seguridad, ahi encaja mi
>> argumentacion anterior, si es otra cosa ¿?
>>
>
> La utilidad de SELinux es que te protege quitando accesos que los
> programas no necesitan. Por ej. si se determina que el servidor web
> solo necesita leer lo que esta almacenado en /var/www (o donde sea),
> entonces cuando un cracker entre a tu servidor por un hoyo de seguridad
> en el servidor web, lo unico que va a poder hacer es leer lo que esta en
> /var/www. No va a poder meterse a /home (por poner un ejemplo), aun
> cuando los permisos "normales" (esos que cambias con chmod) de los
> archivos lo permitan.
>
> El modelo de restricciones y autorizaciones es bastante mas complejo que
> eso obviamente, con el fin de permitir que cada subsistema (web,
> servidor DNS, servidor de correo, que se yo) tenga acceso exactamente a
> lo que necesita y nada mas. Esto hace que manejar SELinux no sea para
> principiantes. Pero no es _tan_ dificil tampoco.
>
> Las protecciones de seguridad no se implementan como una unica muralla
> que limite con el exterior. Es mucho mas efectivo poner varias barreras
> entre tus recursos valiosos y los atacantes. No seria necesario si no
> hubiera ningun hoyo de seguridad ni en Apache, ni en PHP, ni en
> Sendmail, ni en BIND, ni en SSH, etc. Pero basta que uno de ellos tenga
> un bug (cosa que sabemos que ha pasado multiples veces en la historia)
> para que ya la primera barrera se venga abajo. Y es en ese momento
> cuando deseas tener la segunda ...
>
>
Gracias ahora me queda mas claro, pero me asalta una sola duda, hace un
timpo ya hubo un bug en sendmail que permitia al atacante botarlo y
quedar en la maquina como root, en ese caso, SELinux contempla que como
root este atacante, no pueda a su vez, ya sea desactivar o cambiar la
configuracion de SELinux para lograr sus objetivos??
Gracias
--
This message was scanned for spam and viruses by BitDefender.
For more information please visit http://linux.bitdefender.com/
Más información sobre la lista de distribución Linux