Межсетевой экран сокета домена Unix
У меня проблема с моим сервером Debian. Возможно, на моем веб-сервере есть какой-то уязвимый скрипт, который запускается от пользователя www-data. У меня также есть samba с установленным winbind, и samba присоединяется к домену Windows.
Так что, вероятно, этот уязвимый скрипт позволяет хакеру взломать контроллер домена через доменный сокет winbind unix.
На самом деле у меня есть много таких строк в netstat -a:
unix 3 [] STREAM CONNECTED 509027 / var / run / samba / winbindd_privileged / pipe
А наши журналы DC содержат множество зарегистрированных аутентификационных сообщений от корневых или гостевых учетных записей.
Как я могу ограничить доступ моих апачей к winbind? У меня была идея использовать какой-то брандмауэр для сокетов IPC. Является ли это возможным?
3 ответа
Это именно то, что SELinux был разработан для решения. Если вы испытываете тошноту по поводу его настройки, то используйте специально разработанный для него дистрибутив, например Red Hat или один из его производных, например CentOS.
Просто к сведению, что, поскольку ваша машина присоединена к домену через winbind, поиск идентификаторов пользователей и групп будет проходить через winbind через NSS. Запуск ls(1) в каталоге приведет к выполнению поиска по отображению идентификатора пользователя / группы, запуск ps(1) и т. Д. Приведет к выполнению поиска по отображению, как в файле /etc/passwd, так и в AD. Это может быть источником всего вашего трафика.
Если вы видите сценарии веб-сервера, обращающиеся к частям файловой системы, их не должно быть, тогда решение состоит не в том, чтобы заблокировать этот доступ, а в том, чтобы найти и устранить сценарии, которые предоставляют доступ.
(фактически блокирование доступа к сокету - это просто вопрос установки разрешений на сокете или запуска chroot'd веб-сервера)