На strict-политике я ограничивал контекстом запуск скриптов из uploads.
Проблема, как я ее понимаю, именно в том, что веб-шелл подгружается через другой скрипт (инклюд), выполнение которого вполне легитимно.
Я надеюсь на более быстрый ответ от моего коллеги ki11obyte, если он помнит подробности пентеста.
Я не готов сказать сейчас, есть ли данная уязвимость на тех системах.
Прошу простить, но я уже дома и тестовые машины мне не доступны. Мне доступна кружка с пивом и чипсы.
Ну, не 0.
Но довольно мало с точки зрения уязвимостей уровня DVWA.
К сожалению, осветить ситуацию целиком не вышло, ввиду отсутствия критических уязвимостей в системе, которые можно было бы использовать.
Меня больше удивляет то, что технические статьи редко имеют высокий рейтинг.
При том, что обзоры и «размышления на тему» часто имеют оценку 200+.
Качество контента тем не менее остается достаточно высоким.
В прочем, все в наших руках.
«который успешно проведёт атаку против уязвимого приложения и получит #root»
Вот этого мы и стараемся избежать.
Он получит права пользователя apache и контекст «httpd_t».
В таких условиях проблематично произвести повышение привилегий.
Тогда, для Red Hat более верное решение это setroubleshoot [доступен через стандартный yum].
Это приложение, позволяющее анализировать AVC сообщения.
Оно выдает развернутый human-readable отчет, по какой причине высветилась ошибка.
Так же в отчете будет представлена команда, разрешающая данное взаимодействие.
audit2allow же, в свою очередь, позволяет создавать модули для политики на основе тех же AVC. Но довольно часто это не требуется.
Типовая проблема проблема при работе с SELinux это несоответствие контекстов.
Как и говорил ранее, я тем не менее рекомендую вникать в проблему и стараться разрешить ее наиболее корректными с точки зрения концепции методами.
Вы мне про него рассказывали в одной из прошлых серий разбирательств ксена.
Для этого я в руководстве советую отцеплять /tmp и /var отдельно.
О! На счет pv_bootloader_args огромное!
Поковыряю на досуге, может там какая алярма притаилась :)
Проблема, как я ее понимаю, именно в том, что веб-шелл подгружается через другой скрипт (инклюд), выполнение которого вполне легитимно.
Я не готов сказать сейчас, есть ли данная уязвимость на тех системах.
Прошу простить, но я уже дома и тестовые машины мне не доступны.
Мне доступна кружка с пивом и чипсы.Но довольно мало с точки зрения уязвимостей уровня DVWA.
К сожалению, осветить ситуацию целиком не вышло, ввиду отсутствия критических уязвимостей в системе, которые можно было бы использовать.
Польза есть. Но, к сожалению, в других местах.
Но интерес был именно в таком «чистом» тесте. ПОсмотреть объективные результаты.
Информация о свежем релизе RHEL интересная.
При том, что обзоры и «размышления на тему» часто имеют оценку 200+.
Качество контента тем не менее остается достаточно высоким.
В прочем, все в наших руках.
Вот этого мы и стараемся избежать.
Он получит права пользователя apache и контекст «httpd_t».
В таких условиях проблематично произвести повышение привилегий.
Это приложение, позволяющее анализировать AVC сообщения.
Оно выдает развернутый human-readable отчет, по какой причине высветилась ошибка.
Так же в отчете будет представлена команда, разрешающая данное взаимодействие.
audit2allow же, в свою очередь, позволяет создавать модули для политики на основе тех же AVC. Но довольно часто это не требуется.
Типовая проблема проблема при работе с SELinux это несоответствие контекстов.
Как и говорил ранее, я тем не менее рекомендую вникать в проблему и стараться разрешить ее наиболее корректными с точки зрения концепции методами.
Но я бы рекомендовал научиться писать модули политики самостоятельно.
Для понимания, что же происходит.
Не планировал, но если наберется достаточно запросов, то могу.
Задача сравнения довольно трудоемкая, но реализуемая.
Вообще, SELinux доступен и для других систем.
Насколько я помню, его успешно интегрируют в Gentoo.
Мне показалась уместным такая картинка.
Перед выпуском в продакшн необходимо производить серьезное тестирование на проникновение.
Мне кажется, специалисты Яндекс не учли довольно тривиальных вещей.