selinux真那么安全吗?
什么selinux、polkit那套东西,且不说有美国国防部参与开发,算法上给你弄几个后门了,就算是没有后门,我也不信“越复杂越安全”这个道理,弄到root权限还不是一样完蛋?反之简单的linux权限模型没有root权限不也一样安全?
我一直信奉“简单”的原则,近些年来搞Linux的人脑子都有些秀逗了!
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(15)
你即使把马放到了服务器上,因为的你的马不是httpd服务器所属的selinux这个保安就是不让你使用httpd这条线程的权限。杜绝了ftp scp 各种服务所能得到权限的一般方法。还是很好用的。服务器被攻陷往往是人为的漏洞而不是服务器软件或系统本身的漏洞。
回复
别回复我了行么
回复
道高一尺魔高一丈很正常。
回复
CIA,FBI安全防范意识够高了吧?每年不是照样被入侵上万次。有意识是必须的,但是意识不能决定一切。否则印度人和韩国人早就创造另外个宇宙了
0day攻击不说了任何防御都防不住,bypass绕行攻击(就是为了绕行限制的),inject(注入到已经有权限的进程),hijack(进行劫持进程或者模块获得相关权限),infect(感染文件获取权限)其他的方法也有,只是这几种比较出名常用。多学学内核和看点黑x杂志科普一下
回复
难道你不知道世界上有种叫提权的技能么?它凭什么可以拦截?还不是因为底层有限制,可是限制的也是程序,只要得到这个进程权限就可以提权。合格的系统程序员几乎都可以知道如何做到这点。普通用户也可以提权到root或者更大的权限。都说了linux其实不如想象的安全,只是没多少人搞它而已。web入侵也需要提权,linux提权更容易。
windows下的hips也都是这样限制某些目录和文件读写,你看现在怎么样?不是照样可以写么,不让写文件就改名字写完再覆盖,设置变种文件名连接,文件跳转,甚至自己hook自己写1其实是写2,写文件不行就写磁盘,写磁盘不行就写磁道。总有办法攻入的,内和程序员不是安全人员,黑x的思路都是天马行空的selinux能拦得住?
https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html
http://wiki.centos.org/zh/HowTos/SELinux
"局限只有某些获授权的程序可读入用户的~/.ssh/目录",SELinux可以限制到程序进程的访问.
增加获得root权限的难度
我记得FreeBSD早就设置好了安全级,只能提升,不能降低。
http://tonghuatianshi.blog.51cto.com/1853862/364765
selinux是给linux加了一堆严格的限制,所以用起来也非常麻烦,只让你进行预先设定好的操作。即使是root也不是完全自由的.防止误操作,同时把出现漏洞后的损失降到最低.
selinux是给linux加了一堆严格的限制,所以用起来也非常麻烦,只让你进行预先设定好的操作。即使是root也不是完全自由的.防止误操作,同时把出现漏洞后的损失降到最低.
回复
haha
SELINUX 就这样被黑了