SELinux проти AppArmor проти грубої безпеки [закрито]

Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію .

Закрито 2 роки тому .

Я маю налаштувати сервер, який повинен бути максимально захищеним. Яке покращення безпеки ви б використовували і чому, SELinux, AppArmor або грубе безпеку? Чи можете ви дати мені кілька порад, підказів, плюсів / мінусів для цих трьох?

AFAIK:

SELinux: найпотужніший, але найскладніший
AppArmor: простіша конфігурація / управління, ніж SELinux
grsecurity: проста конфігурація завдяки автоматичному тренуванню, більше функцій, ніж просто контроль доступу

linux security hardening

Який "сервер" для надання послуг? До якої аудиторії, в якому середовищі? Що для вас є "безпечним" у цьому контексті? Для отримання корисної відповіді знадобиться ще багато інформації. Наприклад, чистий IP-сервер із робочим днем може бути дуже безпечним - вся мікропрограмне забезпечення ROM, радіоімпульс, автономне живлення від акумулятора з автоматичною зарядкою. Але це, мабуть, не корисна для вас відповідь. Отже, яка послуга? Інтернет в цілому, на підприємствах, довірена робоча команда, завзята мережа з точки зору тощо? Чи потрібна висока доступність? Надійність? Цілісність даних? Управління доступом? Дай

— mpez0

Відповіді:

Я провів багато досліджень у цій галузі. Я навіть експлуатував набори правил AppArmor для MySQL . AppArmor - найслабша форма поділу процесів. Властивість, яку я використовую, полягає в тому, що всі процеси мають привілеї для запису в одні і ті ж каталоги, як-от /tmp/. Що приємного в AppArmor є те, що він порушує деякі подвиги, не потрапляючи на користувачів / адміністраторів. Однак у AppArmor є деякі основні недоліки, які не скоро будуть виправлені.

SELinux дуже безпечний, він також дуже дратує. На відміну від AppAmoror, більшість законних додатків не запускається, поки SELinux не буде налаштовано. Найчастіше це призводить до неправильної конфігурації адміністратора SELinux або відключення його разом.

grsecurity - це дуже великий пакет інструментів. Найбільше мені подобається покращений chroot. Це ще більш безпечно, ніж SELinux, хоча потрібен певний навик і деякий час, щоб встановити Chroot в'язницю, де SELinux і AppAprmor "просто працюють".

Є четверта система, віртуальна машина. У середовищі VM виявлено вразливості, які можуть дозволити зловмиснику "вибухнути". Однак VM має ще більший відрив, ніж chroot becuase у ВМ, яким ви обмінюєтеся менше ресурсів між процесами. Ресурси, доступні для VM, є віртуальними, і можуть мати незначне перекриття між іншими ВМ. Це стосується і <buzzword>" хмарних обчислень " </buzzword>. У хмарному середовищі у вас може бути дуже чіткий поділ між вашою базою даних та веб-додатком, що важливо для безпеки. Можливо також, що 1 експлуатувальник міг би володіти цілою хмарою та всіма VM, що працюють на ній.

— Ладья
джерело

замість <buzzword>тегу ви можете просто написати "мій недопалок", всі будуть знати, що ви маєте на увазі;)

— Daniel Dinnyes

Під ВМ ви маєте на увазі Xen, KVM або LXC / Docker? Також зверніться до своїх оцінок.

— Даніель Дінніс

@Daniel Dinnyes тут немає жодних посилань, це все особиста думка як хакера, який атакує сучасні програми, захищені цими методами пом'якшення - велике захоплення полягає в тому, що нічого не ідеального.

— Грак

@Daniel Dinnyes Якщо вас зацікавили випадки неправомірного використання, почніть із випадків використання за призначенням. Встановіть дистрибутиви, які використовують ці технології, та розгорніть на них додатки. Прочитайте про розгортання та налаштування цих систем безпеки, а потім шукайте слабкі місця.

— Грак

@Daniel Dinnyes дивиться на видані CVE та особливо будь-які публічні подвиги для кожної платформи. Нещодавно знайдений дійсно хороший обхід SELinux: exploit-db.com/exploits/40419

— Rook

Особисто я би використовував SELinux, тому що в кінцевому підсумку націлювався на якийсь аромат RHEL, який має цей набір з коробки здебільшого. Також у Red Hat є чуйний набір обслуговуючого персоналу та багато дуже хорошої документації щодо налаштування SELinux. Корисні посилання нижче.

— Офідіан
джерело

Так, але yum і selinux настільки прикро дратують.

— Грак

Я вважаю, що CLI Yum значно інтуїтивніше, ніж сприятливі. SELinux дратує, коли ви намагаєтеся пройти свій власний шлях із непрофільними додатками, але у мене ніколи не було проблем із запасами, крім того, щоб увімкнути деякі sebool, щоб увімкнути функцію, що не працює за замовчуванням (наприклад, нехай httpd php-скрипти підключаються до бази даних)

— Офідіан