我的debian服务器有问题。 可能在我的web-serser上有一些易受攻击的脚本,它是从www-data用户运行的。 我还安装了winbind的samba,并将sambajoin到windows域。
所以,这个易受攻击的脚本可能允许黑客通过winbind unix域套接字强制删除域控制器。
其实我有很多这样的线在netstat -a输出:
unix 3 [] STREAM CONNECTED 509027 / var / run / samba / winbindd_privileged / pipe
而我们的DC日志包含很多来自根帐户或访客帐户的loggingauthentication。
我怎样才能限制我的apaches访问winbind? 我有一个想法,为IPCsockets使用某种防火墙。 可能吗?
如果您看到networking服务器脚本访问文件系统的一部分,那么它不应该阻止访问,而是find并消除暴露访问的脚本。
(实际上阻止对套接字的访问只是在套接字上设置权限或运行web服务器chroot'd)
这正是SELinuxdevise要解决的问题。 如果您对设置它感到不安,那么请使用专门为它devise的发行版,例如Red Hat或其他衍生产品之一,如CentOS。
只是供参考,因为您的机器通过winbindjoin到域,用户ID和组查找将通过NSS通过winbind。 在目录中运行ls(1)将导致用户标识符/组映射查询完成,运行ps(1)等将导致映射查找完成,无论是在/ etc / passwd文件中还是在AD中。 这可能是所有stream量的来源。