Комментарии 16
AppArmor или SELinux сами себя не настроят.
Ткните пожалуйста носом в хорошее руководство для настройки AppArmor для чайников.
Я не настоящий сварщик, перечитал кучу руководств и рекомендаций по AppArmor, но не въезжаю в одну вещь. При включении AppArmor, по умолчанию, все можно. Это сбивает с толку. Я думал, что по аналогии с файрволом, когда он включен, без настроек, то все запрещено и надо открывать нужные порты. А тут(AppArmor), откуда я знаю, какой бинарь(как у автора статьи, bbp) меня заразит? А когда уже заразит, будет поздно пить боржоми. Разъясните этот нюанс.
Да вроде нормальная родная документация.
https://gitlab.com/apparmor/apparmor/-/wikis/Documentation
Самый простой путь - отпрофилировать обычное поведение бинарника или скрипта (задействовав все возможное сценарии, даже вызов справки) с помощью aa-genprof, применить, допилить напильником, если что-то отломалось и допиливать до тех пор, пока бинарник не перестанет ругаться.
Самый простой путь
Я понимаю, что я ламер и вопросы соответствующие. Но… Это самый простой путь закончить жизнь самоубийством. :) Я должен все известные и неизвестные мне бинарники и скрипты в системе отпрофилировать? А как же, те бинарники и скрипты, которыми система еще не заражена?
Зачем все? Только те, за которые тревожно. Как минимум, из списка netstat -plut
И можно быть обладателем самой большой коллекции заразы, но chmod лучше любого профиля.
Только те, за которые тревожно.
А чтоб я так знал, за что мне тревожно. Я как дилетант и ненастоящий сварщик, естественно, не чувствую нюансы и актуальные возможные опасности.
Как минимум, из списка netstat -plut
Спасибо за какую никакую конкретику. А как максимум? Вот я и прошу, где бы почитать дельные советы и рекомендации с конкретикой базового(и чуть выше) уровня? А не тупо выжимки из родного мануала.
Все предусмотреть невозможно. Как бы в данном конкретном случае, как у автора статьи, AppArmor помог бы? Можно простейший пример, пожалуйста?
в том числе пакет, через уязвимость в котором, предположительно, эксплойт к нам и попал
Блин, столько букв, а конкретно не назвали.
Сейчас уже сложно раскопать, переписка сгинула в слаке :-( в тикетной системе мы это не фиксировали уже, не до бюрократии было.
Должен сказать, что конкретный пакет - это лишь наше предположение, просто нагуглили его в репортах об уязвимостях, которые показались нам похожими на то, что произошло с нами.
Вспомнили! Пакет polkit у нас под подозрением.
Какая ОС была? В Вашем случае?
Не совсем понял из статьи, на какой должности работает автор? Разработчик и по совместительству DevOps?
Если вы предполагаете, что получили рута, то только отключение машины от сети, и полная переустановка.
Пока вы там боролись со скриптами, скорее всего в систему уже поставили перекомпиленный ssh-server и все ваши пароли, если вы их использовали, уже отправились куда-надо. Еще говорят, что если подключиться к такой зараженной машине с пробросом ssh-ключа через -A, то и приватный ключ может утечь.
У вас root был получен, в данном случае самое правильное действие сжечь все.
Странно, что ни вы, ни ваш админ не знают этих базовых правил безопасности в 2023 году.
Далее.
>Собирает оттуда пути до приватных ключей пользователя и адреса, сохранённые в known_hosts.
Ваши разработчики же не хранят ключи на серверах? Да? (картинка со Скайуокером)
А еще если разработчики используют docker, то считайте, что у них есть есть root на сервере, потому что docker run -ti --rm -v /:/tmp bash bash
Неоднократно видел, как кто-то ставил какой-либо portainer на сервер, а потом там волшебным образом появлялся очередной контейнер с -v /:/tmp
1) если получен рут на серваке, то это все - только переустановка всего. можно бэкап оставить для расследования разве что.
2) может имеет смысл поставить какую то панель - там хоть что то есть для защиты веб приложений. например, ISPConfig.
3) При этом прикрывайте все порты, через которые можно админить ваши серверы. Минимум фейл2бан включить для ссш и пр админок
3) вы так и не нашли путь взлома: это довольно сложно. Старайтесь раз в месяц обновлять ОС и все веб-проекты проверять антивирусом СlamAV и AI-bolit.
Вирусы на серверах компании — как это бывает?