Direto do FISL neste artigo irei explorar a palestra do Alex Sander de O. Toledo sobre SELinux. Não é minha praia, com certeza é a praia do meu amigo Cláudio Alfonso do Joomla! Paidegua, mas como a monografia da pós será baseada em segurança para servidores web, estou degustando tudo relativo a segurança para tentar entender a celeuma.
Ele explicou que framework SELINUX atua na Defesa de HOSTS , particularmente no que se refere a sandbox e acl. Falou do ataque do DIA 0, buffer overflow, orange book e outras coisitas de interesse do pessoal de rede e segurança.
É baseado em regras, permite auditoria através de logs de auditoria. Bloqueia brechas de segurança no apache, isola aplicações, possui fluxo de informação, confidencialidade, auto proteção e parte do principio do menor privilégio.
Faz parte da arquitetura do GNU/LINUX.
Achei muito interessante quando ele falou da galera que usa 0777 em todos os diretórios, neste momento lembrei de algo: "isto não acontece com a galera do Joomla!" hehe
Ele falou que o Linux usa nativamente o DAC: Discretionary Access control e não tem como ele resolver a nível de aplicação. Disse também que o SELINUX é da década de 90 e já vem nativo nas distribuições.
Ele citou o exemplo de um ataque ao APACHE do tipo DIA 0 em que o invasor herda todas as permissões do apache, assume todo o controle e "game over". Nesta hora pensei:"e a culpa é do joomla?" Em suma o apache não pode aceitar shell script.













