|
|
Security of Red Hat Enterprise Linux based operating systems
Kňažeková, Nikola ; Ilgner, Petr (referee) ; Komosný, Dan (advisor)
Táto diplomová práca sa zameriava zvyšovanie bezpečnosti v operačných systémoch založených na Red Hat Enterprise Linux, na základe analyzovaných zraniteľnosti za posledných 5 rokov. V teoretickej časti sú popísané slabiny a zraniteľnosti, základné bezpečnostné mechanizmy v Linuxe, so zameraním na technológiu SELinux. Technológia SELinux je súčasťou operačných systémov Red Hat Enterprise Linux, Fedora a CentOS. Na základe analyzovaných zraniteľností bola v praktickej časti navrhnutá konfigurácia technológie SELinux. V návrhu sú popísané prvky, ktoré sa budú konfigurovať a tými sú SELinuxové booleany, SELinuxové moduly a SELinuxoví užívatelia, so zameraním na ochranu pamäte, eskalovanie privilégií, spúšťaniu kódu, úniku dat a obmedzenie procesov a užívateľov. Na základe návrhov bola vytvorená konfigurácia v konfiguračnom nástroji Ansible, ktorej cieľom je umožniť užívateľovi jednoducho a rýchlo nakonfigurovať hosťa. Okrem nej boli vytvorene ďalšie dve konfigurácie, ktoré umožnia vrátiť systém do predchádzajúceho stavu alebo uzamknúť SELinuxovú konfiguráciu. Následne sa overoval dopad konfigurácií na použiteľnosť systému a nájdené chyby boli opravené alebo nahlásené. Posledná časť overuje funkčnosť konfigurácie pred zneužitím zraniteľností.
|
|
|
Extending audit2allow to Provide More Restrictive Solutions
Žárský, Jan ; Janoušek, Vladimír (referee) ; Smrčka, Aleš (advisor)
The thesis analyzes the role of the audit2allow utility in troubleshooting Security-Enhanced Linux denials and proposes extensions that will provide more restrictive and more secure solutions to the user. Basic concepts of SELinux and SELinux security policy are explained. Situations when audit2allow provides ineffective and insecure solutions are analyzed. Support for generating extended permission access vector rules was implemented. Basic support for checking security labels of files was implemented. Implementation details and testing of both extensions to the audit2allow utility are described.
|
|
|
User rights defined by SELinux technology in Red Hat Enterprise Linux operating system
Končitý, Patrik ; Kubánková, Anna (referee) ; Komosný, Dan (advisor)
Tato diplomová práce se zabývá omezením uživatelských práv v operačních systému Red Hat Enterprise Linux (GNU/Linux) pomocí technologie SELinux. V první části práce jsou objasněny mechanismy, pomocí kterých můžeme omezovat práva v OS. Jsou zde vysvětleny základní dva mechanismy omezení práv. Jedná se o mechanismy Diskretního řízení přístupu a Mandatorního řízení přístupu. Dále rozvádíme SELinux technologii, která je formou mandatorního řízení přístupu. V praktické části je proveden nejdříve průzkum typických uživatelů OS a jejich typických činností, na které navazuje implementační část, kde jsou uplatněny teoretické poznatky o SELinux technologii. Je zde popsána implementace nových confined uživatelů a šablony, které jsou přidávány do jednotlivých bezpečnostních politik. Následně jsou tyto bezpečnostní politiky testovány na konfigurovaných systémech a testuje se mitigace konkrétních zranitelností. Mitigace je úspěšná a útočníkovi je zamezeno získat práva. V poslední části se zaobíráme možnými budoucími rozšířeními bezpečnostních politik.
|
|
|
User rights defined by SELinux technology in Red Hat Enterprise Linux operating system
Končitý, Patrik ; Kubánková, Anna (referee) ; Komosný, Dan (advisor)
Tato diplomová práce se zabývá omezením uživatelských práv v operačních systému Red Hat Enterprise Linux (GNU/Linux) pomocí technologie SELinux. V první části práce jsou objasněny mechanismy, pomocí kterých můžeme omezovat práva v OS. Jsou zde vysvětleny základní dva mechanismy omezení práv. Jedná se o mechanismy Diskretního řízení přístupu a Mandatorního řízení přístupu. Dále rozvádíme SELinux technologii, která je formou mandatorního řízení přístupu. V praktické části je proveden nejdříve průzkum typických uživatelů OS a jejich typických činností, na které navazuje implementační část, kde jsou uplatněny teoretické poznatky o SELinux technologii. Je zde popsána implementace nových confined uživatelů a šablony, které jsou přidávány do jednotlivých bezpečnostních politik. Následně jsou tyto bezpečnostní politiky testovány na konfigurovaných systémech a testuje se mitigace konkrétních zranitelností. Mitigace je úspěšná a útočníkovi je zamezeno získat práva. V poslední části se zaobíráme možnými budoucími rozšířeními bezpečnostních politik.
|
|
|
Security of Red Hat Enterprise Linux based operating systems
Kňažeková, Nikola ; Ilgner, Petr (referee) ; Komosný, Dan (advisor)
Táto diplomová práca sa zameriava zvyšovanie bezpečnosti v operačných systémoch založených na Red Hat Enterprise Linux, na základe analyzovaných zraniteľnosti za posledných 5 rokov. V teoretickej časti sú popísané slabiny a zraniteľnosti, základné bezpečnostné mechanizmy v Linuxe, so zameraním na technológiu SELinux. Technológia SELinux je súčasťou operačných systémov Red Hat Enterprise Linux, Fedora a CentOS. Na základe analyzovaných zraniteľností bola v praktickej časti navrhnutá konfigurácia technológie SELinux. V návrhu sú popísané prvky, ktoré sa budú konfigurovať a tými sú SELinuxové booleany, SELinuxové moduly a SELinuxoví užívatelia, so zameraním na ochranu pamäte, eskalovanie privilégií, spúšťaniu kódu, úniku dat a obmedzenie procesov a užívateľov. Na základe návrhov bola vytvorená konfigurácia v konfiguračnom nástroji Ansible, ktorej cieľom je umožniť užívateľovi jednoducho a rýchlo nakonfigurovať hosťa. Okrem nej boli vytvorene ďalšie dve konfigurácie, ktoré umožnia vrátiť systém do predchádzajúceho stavu alebo uzamknúť SELinuxovú konfiguráciu. Následne sa overoval dopad konfigurácií na použiteľnosť systému a nájdené chyby boli opravené alebo nahlásené. Posledná časť overuje funkčnosť konfigurácie pred zneužitím zraniteľností.
|
|
|
Extending audit2allow to Provide More Restrictive Solutions
Žárský, Jan ; Janoušek, Vladimír (referee) ; Smrčka, Aleš (advisor)
The thesis analyzes the role of the audit2allow utility in troubleshooting Security-Enhanced Linux denials and proposes extensions that will provide more restrictive and more secure solutions to the user. Basic concepts of SELinux and SELinux security policy are explained. Situations when audit2allow provides ineffective and insecure solutions are analyzed. Support for generating extended permission access vector rules was implemented. Basic support for checking security labels of files was implemented. Implementation details and testing of both extensions to the audit2allow utility are described.
|
|
|
SELinux security policies for chosen applications of KDE desktop environment
Vadinský, Ondřej ; Palovský, Radomír (advisor) ; Šmejkal, Ivo (referee)
This thesis deals with technologies of SELinux security policy writing. Furthermore the thesis analyzes userspace of GNU/Linux operating system with special focus on KDE desktop environment. On the basis of this analysis a bottom-up methodics to create a security policy is devised. Acquired knowledge is then used in practice when realizing the main goal of the thesis, which is to create example security policies for chosen KDE applications. When describing technologies of security policy writing the thesis draws information from available sources of information. Input for userspace analysis are available electronic sources of information and author's own experience with analyzed applications. This is used with common philosophic principles to devise bottom-up methodics of policy writting. Following act of policy building draws from defined security goals, acquired knowledge, created methodics and defined usecases. Theoretical contribution of the thesis is devised methodics of userspace policy building. Main practical contribution are then created example SELinux policies for chosen KDE applications. The structure of the thesis follows its goals. For them three parts are created: background research of available resources, author's own theoretical contemplations and practical output of the thesis. Those parts are then devided into sections according to needs of each topic.
|
|
|
SELinux
Brunclík, Jiří ; Palovský, Radomír (advisor) ; Šmejkal, Ivo (referee)
The goal of the bachelor thesis SELinux is to summarize the principles and current development status of open-source security project called Security-Enhanced Linux. The main sources for the thesis were official documentation for the project, English books regarding the subject, papers and slides from security conferences and practical knowledge gained by running the software being researched. The thesis represents an unique overview of SELinux features, alternatives and history in Czech language. It sums up majority of the available sources and adds real life examples of how SELinux works in individual Linux distributions. Final part of the thesis is dedicated to comparison with existing alternatives implementing Mandatory Access Control in Linux. The main contribution of the thesis is that it presents a so far non-existent overview of available solutions for Mandatory Access Control and brings out their main advantages and disadvantages in comparison to SELinux. It also represents a complex summary of how SELinux is implemented in various Linux distributions. The thesis can be utilized as a brief introduction to hardening Linux systems, as an overview of available products bringing enhanced security to this operating system, or even as a basis for making decisions of which security system to implement. It might also be used as a brief summary of SELinux history.
|
guest ::
