Czego użyć, aby wzmocnić Linux-a? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Planuję wrócić do systemu Linux jako komputer stacjonarny. Chciałbym, aby był bardziej bezpieczny. I wypróbuj kilka technik hartowania, zwłaszcza, że ​​planuję uzyskać własny serwer.

  • Jaka byłaby dobra, rozsądna strategia hartowania? Z jakich narzędzi powinienem korzystać - Apparmor, SELinux, SMACK, chroot?
  • Czy powinienem użyć tylko jednego narzędzia, np. Apparmor, czy kombinacji powyższych?
  • Jakie zalety / wady mają te narzędzia? Czy są jeszcze jakieś?
  • Które mają rozsądny stosunek konfiguracji do bezpieczeństwa (poprawy)?
  • Którego wolałbym używać w środowisku Desktop? Który w środowisku serwerowym.

Tak dużo pytań.

jottr
źródło
7
Słowo ostrzeżenia: eksperymentuj, ile chcesz, ale nie włączaj systemów bezpieczeństwa w systemach produkcyjnych, jeśli nie rozumiesz ich dokładnie. Wiele rzeczywistych exploitów jest przeciwnych błędnym konfiguracjom, a nie wadom podstawowych systemów. Dzięki bezpieczeństwu więcej funkcji zdecydowanie nie oznacza lepszych.
Gilles „SO- przestań być zły”
2
Nie ma jednego narzędzia bezpieczeństwa, które magicznie zmieniłoby Twój komputer w niezniszczalną maszynę (i tak jest to niemożliwe). Aby to osiągnąć, musisz ciężko pracować, eksperymentować i łączyć ustawienia wielu różnych narzędzi. Dotyczy to zarówno komputerów stacjonarnych, jak i serwerów. Spróbuj także postępować zgodnie z radą Gillesa. Trudną częścią stosowania praktyk bezpieczeństwa na komputerach z wieloma użytkownikami jest to, że nie można w żaden sposób wpływać na legalnych użytkowników.
sakisk

Odpowiedzi:

9

AppArmour jest zwykle uważany za prostszy niż SELinux. SELinux jest dość złożony i może być stosowany nawet w zastosowaniach wojskowych, podczas gdy AppArmour jest zwykle prostszy. SELinux działa na poziomie i-węzła (tzn. Ograniczenia są stosowane w taki sam sposób, jak uprawnienia ACL lub UNIX - z drugiej strony), podczas gdy AppArmour ma zastosowanie na poziomie ścieżki (tzn. Użytkownik określa dostęp na podstawie ścieżki, więc przy zmianie ścieżki może nie mieć zastosowania ). AppArmour może także chronić podprocesy (jak tylko mod_php), ale jestem sceptycznie nastawiony do prawdziwego wykorzystania tego. Wygląda na to, że AppArmour trafia do jądra głównego (jest w -mm IIRC).

Nie wiem dużo o SMACK, ale z opisu wygląda na uproszczonego SELinuksa. Istnieje również RSBAC, jeśli chcesz na to spojrzeć.

chroot ma ograniczony zakres użycia i nie sądzę, że przydałoby się to w środowisku pulpitu (można go użyć do oddzielenia demonów od dostępu do całego systemu - np. demona DNS).

Na pewno warto zastosować „ogólne” hartowanie, takie jak PaX, -fstack-protector itp. Chroot, którego można używać, gdy obsługuje go dystrybucja, podobnie jak AppArmour / SELinux. Wydaje mi się, że SELinux lepiej nadaje się do obszarów o wysokim poziomie bezpieczeństwa (ma znacznie lepszą kontrolę nad systemem), a AppArmour jest lepszy do prostego hartowania.

Zasadniczo nie zawracałbym sobie głowy bardzo mocno hartowaniem ogólnego pulpitu, z wyjątkiem wyłączania nieużywanych usług, regularnej aktualizacji itp., Chyba że pracujesz w strefie o wysokim stopniu bezpieczeństwa. Jeśli mimo to chcesz zabezpieczyć, skorzystałbym z tego, co obsługuje twoja dystrybucja. Wiele z nich, aby być skutecznym, potrzebuje wsparcia aplikacji (do ex narzędzi kompilacji do obsługi atrybutów, pisemnych reguł), więc radziłbym użyć tego, co obsługuje twoja dystrybucja.

Maciej Piechotka
źródło
4

Użyj GRSecurity + PAX. Cała reszta to po prostu marketing bullsh * t i / lub głównie oparty na pracy zespołu PAX. Główny honor twórcy PAX, pipacs właśnie zdobył nagrodę za całokształt twórczości na Black Hat 2011 / PWNIE:

Jego praca techniczna miała ogromny wpływ na bezpieczeństwo: jego pomysły mają zasadnicze znaczenie dla ulepszeń bezpieczeństwa we wszystkich głównych systemach operacyjnych w ostatnich latach, a jego pomysły pośrednio ukształtowały większość nowoczesnych technik ataków polegających na uszkodzeniu pamięci. Żaden napastnik nie może być obecnie traktowany poważnie, który nie zajmuje się wynalazkami obronnymi zapoczątkowanymi przez naszego zwycięzcę.

Zdobądź grsecurity + pax, jeśli naprawdę chcesz mieć bezpieczne pudełko. GRsec zapewnia kontrolę RBAC nad maszyną, wiele zabezpieczeń opartych na systemie plików (chroot), PaX zamyka większość możliwych wektorów ataków hakerów. Możesz także przetestować swoje urządzenie za pomocą paxtest, aby zobaczyć, jakie zabezpieczenia i słabości ma Twoje urządzenie.

Może to mieć wpływ na wydajność. Przeczytaj pomoc :).

Jauzsika
źródło