Що використовувати для затвердіння Linux-скрині? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Я планую повернутися до Linux як настільний апарат. Я хотів би зробити це більш безпечним. І спробуйте кілька методів загартовування, тим більше, що я планую отримати власний сервер.

  • Яка б була добра стратегія загартовування? Які інструменти я повинен використовувати - Apparmor, SELinux, SMACK, chroot?
  • Чи варто використовувати лише один інструмент, наприклад, Apparmor або комбінацію перерахованих вище?
  • Які переваги / недоліки мають ці засоби? Чи є інші?
  • Які мають нормальне відношення безпеки (поліпшення)?
  • Який із них я б краще використовувати в робочому середовищі? Який у серверному середовищі.

Стільки питань.

security  chroot  selinux  grsecurity  hardening 
Jottr
джерело
7
Слово попередження: експериментуйте все, що завгодно, але не включайте системи безпеки на виробничих системах, якщо ви не розумієте їх ретельно. Дуже багато подвигів у реальному світі є проти неправильних конфігурацій, а не недоліків основної системи. Що стосується безпеки, більше функцій, безумовно, не означає краще.
Жил "ТАК - перестань бути злим"
2
Не існує єдиного інструмента захисту, який магічним чином міг би перетворити ваш комп'ютер на нерозбірну машину (це все одно неможливо). Для цього потрібно наполегливо працювати, експериментувати та поєднувати налаштування багатьох різних інструментів. Це справедливо як для настільних ПК, так і для серверних машин. Також спробуйте дотримуватися порад Жилла. Важкою частиною застосування практик безпеки на багатокористувацьких машинах є те, що законні користувачі не повинні впливати жодним чином.
sakisk

Відповіді:

9

Зазвичай, AppArmour вважається простішим, ніж SELinux. SELinux є досить складним і може використовуватися навіть у військових додатках, тоді як AppArmour, як правило, простіше. SELinux працює на рівні i-вузла (тобто обмеження застосовуються так само, як дозволи ACL або UNIX - з іншого боку), тоді як AppArmour застосовується на рівні шляху (тобто ви вказуєте доступ, заснований на шляху, тому при зміні шляху він може не застосовуватися ). AppArmour також може захищати підпроцеси (наприклад, лише mod_php), але я якось скептично ставлюсь до реального використання ним. AppArmour, здається, знаходить свій шлях до основного ядра (він знаходиться в-мм IIRC).

Я мало знаю про SMACK, але це схоже на спрощений SELinux з опису. Також є RSBAC, якщо ви хочете подивитися.

chroot має обмежену сферу використання, і я не думаю, що це буде багато корисного в робочому середовищі (його можна використовувати для відділення демонів від доступу до всієї системи - наприклад, демона DNS).

Напевно, варто застосувати «загальне» загартовування, таке як PaX, -fstack-protector і т. Д. Chroot, який ви можете використовувати, коли ваш дистрибутив підтримує так, AppArmour / SELinux. Я думаю, що SELinux краще підходить для областей високої безпеки (він має набагато кращий контроль над системою), а AppArmour краще для простого зміцнення.

Взагалі, я б не намагався дуже загартовувати загальний робочий стіл, за винятком виключення невикористаних служб, регулярного оновлення тощо, якщо ви не працюєте у високо захищеній зоні. Якщо ви хочете все-таки захиститись, я б використовував те, що підтримує ваш дистрибутив. Багато з них для ефективності потребують підтримки додатків (для створення компіляційних інструментів для підтримки атрибутів, письмових правил), тому я б радив використовувати те, що підтримує ваш дистрибутив.

Мацей П'єхотка
джерело
4

Використовуйте GRSecurity + PAX. Все інше - це просто маркетингова робота * / та / або в основному на основі роботи команди PAX. Головний розробник PAX, pipacs щойно виграв нагороду за все життя на Black Hat 2011 / PWNIE:

Його технічна робота мала негативний вплив на безпеку: його ідеї є основними для покращення безпеки в усіх основних операційних системах в останні роки, а його ідеї опосередковано формували більшість сучасних методів нападу на корупцію в пам'яті. Сьогодні жоден зловмисник не може сприйматись серйозно, якщо він не має стосунку до оборонних винаходів, на які пішов наш переможець.

Отож, отримуйте безпеку + pax, якщо ви дійсно хочете захищений ящик. GRsec надає вам RBAC контроль над вашою машиною, багато захищених файловою системою (chroot), PaX закриває більшість можливих хакерів, які використовують вектори атак. Ви також можете перевірити свій ящик за допомогою paxtest, щоб побачити, який захист та вразливі місця має ваш ящик.

Можуть бути наслідки ефективності. Прочитайте довідку :).

Jauzsika
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.