Gdzieś przeczytałem lub słyszałem (może w kursie LinuxCBT na SELinux ; ale nie jestem pewien), że istnieją internetowe serwery Linux, dla których podane jest również hasło użytkownika root. Serwer Linux jest zahartowany przy użyciu reguł SELinuksa, dzięki czemu każdy może zalogować się z użytkownikiem root, ale nie może wyrządzić szkody systemowi operacyjnemu.
Wydaje mi się to mitem, ale chciałem się upewnić: czy możliwe jest zahartowanie Linux-a (prawdopodobnie za pomocą SELinuksa), tak aby nawet użytkownik root nie mógł wykonywać na nim określonych złośliwych działań? (Przykłady: usuwanie plików systemowych, czyszczenie plików dziennika, zatrzymywanie krytycznych usług itp.)
Taki system Linux będzie świetnym punktem wyjścia do budowy honeypot .
Edycja: Na podstawie odpowiedzi (teraz usuniętej) i małego Googlinga dostałem co najmniej dwa linki, które wskazywały na tak zahartowane serwery Linux. Niestety oba serwery są wyłączone. Dla przypomnienia skopiuję i wkleję opisy tutaj:
1) Ze strony http://www.coker.com.au/selinux/play.html :
Bezpłatny dostęp do roota na maszynie SE Linux!
Aby uzyskać dostęp do mojej gry Debian ssh na play.coker.com.au jako root, hasło to ...
Pamiętaj, że takie maszyny wymagają dużej wprawy, jeśli chcesz je pomyślnie uruchomić. Jeśli musisz zapytać, czy powinieneś je uruchomić, odpowiedź brzmi „nie”.
Ma to na celu wykazanie, że SE Linux może zapewnić wszelkie niezbędne zabezpieczenia bez żadnych uprawnień uniksowych (jednak nadal zaleca się korzystanie z uprawnień uniksowych również w przypadku prawdziwych serwerów). Daje także szansę na zalogowanie się na maszynę SE i zobaczenie, jak to jest.
Kiedy logujesz się na maszynie SE Linux Play, upewnij się, że używasz opcji -x , aby wyłączyć przekazywanie X11 lub ustaw ForwardX11 no w pliku / etc / ssh / ssh_config przed zalogowaniem. Upewnij się także, że używasz opcji -a, aby wyłączyć przekazywanie agenta ssh lub ustaw ForwardAgent no w pliku / etc / ssh / ssh_config przed zalogowaniem. Jeśli nie wyłączysz poprawnie tych ustawień, zalogowanie się do automatu zagrozi Ci atakiem za pośrednictwem klienta SSH.
Istnieje kanał IRC do dyskusji na ten temat, jest to #selinux na irc.freenode.net .
Oto krótkie FAQ
2) Ze strony http://www.osnews.com/comments/3731
Celem wzmocnionego Gentoo jest sprawienie, aby Gentoo był opłacalny w środowiskach serwerowych o wysokim poziomie bezpieczeństwa i stabilności. Ten projekt nie jest samodzielnym projektem odłączonym od Gentoo; ma być zespołem programistów Gentoo, którzy koncentrują się na dostarczaniu Gentoo rozwiązań zapewniających silne bezpieczeństwo i stabilność. Ta maszyna to demo Hardened Gentoo SELinux . Jego podstawowym zastosowaniem jest testowanie i audyt integracji i zasad SELinuksa.