GNU/Linux厂商SuSE的安全研究人员Sebastian Krahmer成功的绕过了SELinux的白名单规则,Sebastian分析了漏洞利用的方法并且公开了PoC,由于在targeted规则的情况下,社区的维护人员都假设是安全的所以会给一些的程序root权限运行,可能这正是NSA所希望看到的;-)
著名的MAC(强制访问控制)开源实现SELinux是由NSA(美国国家安全局)于1990年代末发起的项目,于2000年以GPL自由软件许可证开放源代码,2003年合并到Linux内核中,过去10年中关于是否NSA在其中放后门的争论没有停过,一些人认为应该信任SELinux,因为它是以GPL自由软件许可证公开的源代码,也有人认为它是NSA参与过的项目,所以不应该信任。2013年Snowden曝光棱镜后更多的人极度的不信任NSA,认为NSA有对Android代码植入后门的前科,所以应该怀疑所有NSA积极参与的项目包括SELinux。目前MAC的开源实现里,SELinux主要由RedHat/CentOS/Fedora社区维护,Apparmor主要由OpenSuSE/Ubuntu社区维护,而以纵深防御著称的PaX/Grsecurity到目前未知因为厂商利益以及社区政治等各种原因,虽然被诸多操作系统抄袭( Linux/Windows/OSX),但一直未能进入Linux主干代码。
有人连iptables都关掉,就有点过了,iptables不仅仅是个防火墙,或者说,它本来就不是防火墙。
UGO相关命令: chmod chown
ACL相关命令: setfacl getfacl 作用:可以针对某一个用户对某一文件指定一个权限.
就算要采用强制访问控制系统,也应该改用apparmor而非美帝流氓打手NSA的selinux.
13楼的匿名懦夫休矣.
我都说了,美帝的NSA怎么会那么大发善心为Linux开发强安全机制SELinux呢?果不其然,NSA留了一手.我这想说,美帝能不能不这么流氓?有技术你就为所欲为了吗?贱货!
还好Ubuntu/Debian上用的是AppArmor,别特么以后又爆出新闻说AppArmor也被NSA插了一腿就好.
关闭NSA的SELinux:
vi /etc/selinux/config
SELINUX=enforcing 改为 SELINUX=disabled
重启系统生效.
我擦,NSA果然没安好心。