|
|
Security of Red Hat Enterprise Linux based operating systems
Kňažeková, Nikola ; Ilgner, Petr (oponent) ; Komosný, Dan (vedoucí práce)
This master’s thesis focuses on increasing the security of Red Hat Enterprise Linux derived operating systems, based on the vulnerabilities analyzed over the last 5 years. The theoretical part describes the weaknesses and vulnerabilities, and the basic security mechanisms in Linux, with a focus on a SELinux technology. SELinux technology is shipped with the operating systems Red Hat Enterprise Linux, Fedora, and CentOS. In the practical part, based on the analyzed vulnerabilities, the configuration of the SELinux technology was designed. The design describes the elements that will be configured, namely SELinux booleans, SELinux modules, and SELinux users, focused on memory protection, escalation of privileges, code execution, data leakage, and restriction of processes and users. Based on the suggestions, a configuration was created in the Ansible configuration tool, which aims to allow the user to simply and quickly configure systems. In addition, two more configurations have been created that will allow users to revert the SELinux configuration to a previous state or lockdown the SELinux configuration. Subsequently, the impact of the configurations on the usability of the system was verified, and the found bugs were fixed or reported. The last part verifies the functionality of the configuration against exploit vulnerabilities.
|
|
|
Rozšíření nástroje audit2allow pro poskytování více omezujících řešení
Žárský, Jan ; Janoušek, Vladimír (oponent) ; Smrčka, Aleš (vedoucí práce)
Bakalářská práce rozebírá roli nástroje audit2allow při řešení zamítnutí přístupu systémem Security-Enhanced Linux a navrhuje rozšíření nástroje tak, aby uživateli poskytoval více omezující a bezpečnější řešení. Jsou představeny základní koncepty systému SELinux a jeho bezpečnostní politiky. Jsou rozebrány situace, kdy nástroj audit2allow poskytuje řešení, která jsou neefektivní a potenciálně nebezpečná. V rámci práce byla implementována podpora pro generování pravidel udělující rozšířená oprávnění. Rovněž byla implementována základní podpora pro kontrolu bezpečnostního kontextu souborů. Práce popisuje implementační detaily a testování obou rozšíření nástroje audit2allow.
|
|
|
User rights defined by SELinux technology in Red Hat Enterprise Linux operating system
Končitý, Patrik ; Kubánková, Anna (oponent) ; Komosný, Dan (vedoucí práce)
This thesis deals with the restriction of user rights in the Red Hat Enterprise Linux (GNU/Linux) operating system using SELinux technology. The first part of the thesis explains the mechanisms by which we can restrict rights in the OS. The basic two mechanisms of rights restriction are explained. These mechanisms are Discreet Access Control and Mandatory Access Control. Next, we elaborate on SELinux technology, which is a form of Mandatory Access Control. In the practical part, first a survey of typical OS users and their typical activities is carried out, followed by the implementation part where the theoretical knowledge of SELinux technology is applied. The implementation of new confined users and the templates that are added to each security policy are described. These security policies are then tested on the configured systems to test the mitigation of specific vulnerabilities. Mitigation is successful and the attacker is prevented from gaining privileges. In the last section, we discuss possible future extensions to the security policies.
|
|
|
User rights defined by SELinux technology in Red Hat Enterprise Linux operating system
Končitý, Patrik ; Kubánková, Anna (oponent) ; Komosný, Dan (vedoucí práce)
This thesis deals with the restriction of user rights in the Red Hat Enterprise Linux (GNU/Linux) operating system using SELinux technology. The first part of the thesis explains the mechanisms by which we can restrict rights in the OS. The basic two mechanisms of rights restriction are explained. These mechanisms are Discreet Access Control and Mandatory Access Control. Next, we elaborate on SELinux technology, which is a form of Mandatory Access Control. In the practical part, first a survey of typical OS users and their typical activities is carried out, followed by the implementation part where the theoretical knowledge of SELinux technology is applied. The implementation of new confined users and the templates that are added to each security policy are described. These security policies are then tested on the configured systems to test the mitigation of specific vulnerabilities. Mitigation is successful and the attacker is prevented from gaining privileges. In the last section, we discuss possible future extensions to the security policies.
|
|
|
Security of Red Hat Enterprise Linux based operating systems
Kňažeková, Nikola ; Ilgner, Petr (oponent) ; Komosný, Dan (vedoucí práce)
This master’s thesis focuses on increasing the security of Red Hat Enterprise Linux derived operating systems, based on the vulnerabilities analyzed over the last 5 years. The theoretical part describes the weaknesses and vulnerabilities, and the basic security mechanisms in Linux, with a focus on a SELinux technology. SELinux technology is shipped with the operating systems Red Hat Enterprise Linux, Fedora, and CentOS. In the practical part, based on the analyzed vulnerabilities, the configuration of the SELinux technology was designed. The design describes the elements that will be configured, namely SELinux booleans, SELinux modules, and SELinux users, focused on memory protection, escalation of privileges, code execution, data leakage, and restriction of processes and users. Based on the suggestions, a configuration was created in the Ansible configuration tool, which aims to allow the user to simply and quickly configure systems. In addition, two more configurations have been created that will allow users to revert the SELinux configuration to a previous state or lockdown the SELinux configuration. Subsequently, the impact of the configurations on the usability of the system was verified, and the found bugs were fixed or reported. The last part verifies the functionality of the configuration against exploit vulnerabilities.
|
|
|
Rozšíření nástroje audit2allow pro poskytování více omezujících řešení
Žárský, Jan ; Janoušek, Vladimír (oponent) ; Smrčka, Aleš (vedoucí práce)
Bakalářská práce rozebírá roli nástroje audit2allow při řešení zamítnutí přístupu systémem Security-Enhanced Linux a navrhuje rozšíření nástroje tak, aby uživateli poskytoval více omezující a bezpečnější řešení. Jsou představeny základní koncepty systému SELinux a jeho bezpečnostní politiky. Jsou rozebrány situace, kdy nástroj audit2allow poskytuje řešení, která jsou neefektivní a potenciálně nebezpečná. V rámci práce byla implementována podpora pro generování pravidel udělující rozšířená oprávnění. Rovněž byla implementována základní podpora pro kontrolu bezpečnostního kontextu souborů. Práce popisuje implementační detaily a testování obou rozšíření nástroje audit2allow.
|
|
|
Bezpečnostní politiky SELinuxu pro vybrané aplikace prostředí KDE
Vadinský, Ondřej ; Palovský, Radomír (vedoucí práce) ; Šmejkal, Ivo (oponent)
Tato práce zkoumá technologie tvorby bezpečnostních politik SELinuxu. Dále práce analyzuje uživatelský prostor systému GNU/Linux se zvláštním zaměřením na pracovní prostředí KDE. Na základě této analýzy pak práce navrhuje metodiku tvorby bezpečnostní politiky zdola nahoru. Nabyté znalosti se pak v práci uplatňují při realizaci jejího hlavního cíle, totiž tvorbě bezpečnostní politiky pro vybrané aplikace prostředí KDE. Při popisu technologie tvorby bezpečnostních politik práce čerpá informace z dostupných zdrojů. Vstupem do analýzy uživatelského prostoru jsou poté jednak dostupné elektronické zdroje a také vlastní zkoumání konkrétních aplikací. To spolu s obecnými filosofickými principy pak slouží k vytvoření metodiky pro tvorbu politiky zdola nahoru. Následný vývoj bezpečnostní politiky vychází ze stanovených bezpečnostních cílů, nabytých poznatků, vytvořené metodiky a definovaných případů užití. Přínosem práce je v teoretické rovině navrhovaná metodika tvorby bezpečnostních politik pro uživatelský prostor. V praktické rovině pak práce přináší vzorovou bezpečnostní politiku SELinuxu pro vybrané aplikace. Struktura práce odpovídá jednotlivým cílům. Pro ty jsou vyčleněny tři části odlišující rešerši dostupných zdrojů, vlastní teoretické úvahy a vlastní praktický výstup práce. Jednotlivé části práce se dále člení podle potřeb řešeného tématu.
|
|
|
SELinux
Brunclík, Jiří ; Palovský, Radomír (vedoucí práce) ; Šmejkal, Ivo (oponent)
Bakalářská práce SELinux vznikla za účelem shrnutí principů fungování a současného stavu vývoje stejnojmenného projektu. Kromě projektové dokumentace a již existující literatury v anglickém jazyce patřily mezi zdroje především články a přednášky z odborných konferencí a také praktické poznatky získané provozováním tohoto systému. Práce přináší v češtině dosud neexistující přehled vlastností SELinuxu, jeho vývoje a alternativ včetně krátkého úvodního přehledu principů bezpečnostní politiky. Shrnuje většinu dostupných zdrojů o problematice spolu s konkrétními doklady funkčnosti v jednotlivých distribucích. Na závěr uvádí srovnání s existujícími alternativami a jejich výhody a nevýhody oproti SELinuxu. Práce přináší v době vzniku jako jediná srovnání existujících bezpečnostních řešení a jejich výhod a nevýhod v porovnání se SELinuxem, stejně jako jedinečný přehled funkčnosti SELinuxu v nejrozšířenějších linuxových distribucích. Může sloužit jako teoretický úvod do problematiky rozšíření možností zabezpečení Linuxu, jako přehled existujících řešení povinného řízení přístupu v tomto operačním systému a případně jako podklad pro rozhodování, jaké z těchto řešení zvolit. Je také možné ji využít jako stručnou historii projektu Security Enhanced Linux.
|
host ::
RSS.