SeLinux理论在Redis下实践:第2部分

1. 介绍

   Redis是一个广泛使用的Key-Value存储系统,主要用于处理各个高并发场景下的数据读取加速,与MemCache不同的是,Redis具有多种数据结构和灵活管理,而且还支持数据持久化。在Redis中,我们可以通过灵活地动态修改持久化的存储路径的特性,该特性也带来一个问题,当我们的数据中存在一些恶意代码时,那么该恶意代码就能存储到我们指定的路径,从而实现:SSH免密、定时任务启动、修改指定文件信息。
   在本文,我们将通过Redis这个特性来放置一段恶意代码,并成功获取我们需要的数据来展示该特性带来的一些问题,然后我们通过 “SeLinux理论在Redis下实践:第1部分
” 介绍的Selinux来限制该特性带来的问题,最后我将列出在这个过程中遇到的一些问题回答和总结,希望通过该文让大家认识到Selinux的先进安全管理机制,如果我们运用得恰当,它将能将许多0 Day 漏洞尽可能限制在一定的范围。

2. 实践目的

   目前有一些linux教程,经常指导我们将selinux默认关闭,其实对于linux的整体安全就会大打折扣。在这个实践中,我主要通过利用Redis持久化数据到任意目录文件的漏洞,在一个没有开启selinux的环境中,将一个可以读取/etc/passwd的脚本写到网站的运行目录,从而验证没有selinux下的我们可以读取一些敏感数据的风险点,然后通过一步步地实践如何在selinux下进行防护该漏洞,以让大家对selinux有更深的一个认识。

3. 实验环境与背景

操作系统: Centos7
WEB服务器: Apache/2.4.6
PHP: 5.4.16
Redis: 4.0.9
网站目录: /var/www/html/

192.168.1.18:Redis与web服务器放置在同一台机器。
192.168.1.19:客户端

4. 如何进行越权操作

为了达到实验目的,Redis 开启远程访问的配置,并且无密码,并且selinux是处于permissive或者disabled状态。我们先检查确认服务端环境的就绪情况:

[email protected]# getenforce
Permissive
[email protected]# ss -antp|grep 6379 
LISTEN     0      511          *:6379                     *:*                   users:(("redis-server",pid=3934,fd=6))

在客户端使用redis-cli连接到服务器,并设置保存路径及保存文件,将恶意代码写入到某个test中,最后save把该代码保存到设定的文件。

[email protected] # redis-cli -h 192.168.1.18
192.168.1.18:6379>CONFIG SET dir /var/www/html
192.168.1.18:6379>CONFIG set dbfilename test.php
192.168.1.18:6379>set test  ''
192.168.1.18:6379>save

然后,我们运行该文件,可以查看到/etc/passwd内容


运行结果

以上就是我们通过redis这个漏洞获取到敏感数据的过程。
通过上面的实验我们可以实现很多非法操作,比如文件读写,定时任务启动等等,虽然可以通过其他方式来规避这个问题,比如加密码之类,但是有一些场景如cluster模式,必须无密码,而且还担心密码泄露,没有能基本上解决非法读取的问题。

5. 如何通过SeLinux来防护:

在服务端将selinux开启,将能将该漏洞限制在有限的范围内,而不会造成敏感数据泄露。

[email protected]# setenforce 1
[email protected]# getenforce
Enforcing

此时,我们在客户端就无法再通过该redis漏洞来获取敏感数据了。

192.168.1.18:6379> save
(error) ERR

  我们查看一下服务端的selinux日志,可以发现以下内容,证明我们selinux已经实际拦截了。audit2why是一个selinux的日志分析工具,当开启selinux日志服务时(默认开启),日志文件默认存放在/var/log/audit/audit.log:

[email protected]# audit2why < /var/log/audit/audit.log
type=AVC msg=audit(1553166802.997:6749): avc:  denied  { dac_override } for  pid=3934 comm="redis-server" capability=1  scontext=system_u:system_r:redis_t:s0 tcontext=system_u:system_r:redis_t:s0 tclass=capability

    Was caused by:
        Missing type enforcement (TE) allow rule.

        You can use audit2allow to generate a loadable module to allow this access.

  以上就是selinux的强大威力,但是selinux如何更好地为我所用呢?下面以如何将redis持久化数据保存到我们指定目录为例,给大家更加直观、深刻体会selinux的配置灵活性。
  如果我们想把数据文件保存到/data/redis/redis.db,下面提供两种方式进行配置

  1. 在服务端通过chcon 对该文件的selinux 类型修改为redis_var_run_t。
[email protected]# mkdir -p /opt/redis/
[email protected]# touch /opt/redis/redis.db
[email protected]# ls -Zl /opt/redis/redis.db
-rw-r--r--. 1 unconfined_u:object_r:usr_t:s0   root root 0 Mar 22 11:26 /opt/redis/redis.db
[email protected]# chcon -t redis_var_run_t /opt/redis/redis.db
[email protected]# ls -Zl /opt/redis/redis.db
-rw-r--r--. 1 unconfined_u:object_r:redis_var_run_t:s0 root root 0 Mar 22 11:26 /opt/redis/redis.db

然后在客户端,我们再尝试一下保持数据

[email protected] # redis-cli -h 192.168.1.18
192.168.1.18:6379>CONFIG SET dir /opt/redis/
192.168.1.18:6379>CONFIG set dbfilename redis.db
192.168.1.18:6379>save
OK
  1. 通过semange fcontext进行添加后并重置权限:
[email protected]# semanage fcontext -a -t redis_var_run_t "/opt/redis(/.*)?"
[email protected]# restorecon -Rv /opt/redis/

6. 常见问题:

  1. 为何开启selinux后,我的redis还是无法防护呢?
    通过ps -auxZ 查看redis-server 的类型是否为:unconfined_t
[email protected]# ps auxZ|grep redis
unconfined_u:unconfined_r:unconfined_t:s0 ...

如果是该提示,则是redis-server启动不能通过bash进行启动,默认的 bash 环境是不受 SELinux 管制的~因为 bash 并不是什么特别的网络服务!因此,在这个不受 SELinux 所限制的 bash 程序所产生的文件, 其身份识别大多就是 >unconfined_u 这个“不受限”用户啰!
因此,需要通过systemctl start redis 来启动。

  1. 添加的上下文(context)在哪里呢?
    默认目录在:/etc/selinux/targeted/contexts/files
    这里有系统自带的一些默认的上下文资源,而我们自定义的上下文context放置到文件:file_contexts.local

7. 总结:

通过以上的实验,我们可以体验到一个漏洞的利用威力及其影响面是巨大的。也由于selinux配置灵活性,导致Selinux的配置并不直观,在一些概念上理解比较抽象,因此很多人都默认选择了关闭该功能。希望通过这两篇文章来帮助大家重新认识selinux,并希望一起打造更加安全的linux服务环境。

8. 参考:

Redis漏洞,远程攻击:https://www.cnblogs.com/shuaiandjun/p/8425994.html
由于时间关系,行文可能存在错误或者有其他建议及问题,欢迎大家与我联系:一虚道长([email protected]

你可能感兴趣的:(SeLinux理论在Redis下实践:第2部分)