Рекомендации по использованию SELinux для защиты web-сервера Дэн Уолш (Dan Walsh), один из разработчиков SELinux, опубликовал интересную заметку об особенностях использования механизма SELinux, написанную в ответ на cтатью с рассказом о неудачном опыте использования SELinux для защиты уязвимого http-сервера Apache. В статье продемонстрировано, что несмотря на использование SELinux, атакующий может прочитать содержимое /etc/passwd, после чего сделан вывод о малой полезности как средства для блокирования уязвимостей или ошибок в конфигурации. Уолш подробно показал в чём заблуждения автора статьи, подчеркнув, что SELinux не является средством блокирования ошибок в программах, а лишь позволяет ограничить область проникновения, в случае эксплуатации подобных ошибок. В частности, если при штатной работе Apache требуется чтение /etc/passwd, то и злоумышленник сможет получить к нему доступ, но благодаря SELinux он не сможет добраться до других файлов и сервисов, например, не сможет создать raw-сокет для сниффера, запустить рассылку спама или привязать бэкдор к произвольному номеру порта. Дополнительно Уолш привёл несколько полезных практических рекомендаций по использованию SELinux для усиления безопасности web-сервера. 03.08.2012 http://www.opennet.ru/opennews/art.shtml?num=34483 http://lwn.net/Articles/509438/rss