SELinux против AppArmor против grsecurity [закрыто]

14

Я должен настроить сервер, который должен быть максимально безопасным. Какое улучшение безопасности вы бы использовали и почему, SELinux, AppArmor или grsecurity? Можете ли вы дать мне несколько советов, советов, плюсов / минусов для этих трех?

НАСКОЛЬКО МНЕ ИЗВЕСТНО:

  • SELinux: самый мощный, но самый сложный
  • AppArmor: более простая настройка / управление, чем SELinux
  • grsecurity: простая настройка благодаря автоматическому обучению, больше возможностей, чем просто контроль доступа
linux security hardening
источник
«Сервер», чтобы обеспечить какой вид услуг? Для какой аудитории, в какой среде? Что является «безопасным» для вас в этом контексте? Для получения полезного ответа понадобится много дополнительной информации. Например, сервер времени IP с чистым IP-адресом может быть очень безопасным - все прошивки ПЗУ, радиоприемник, автономное питание от батареи с автоматической зарядкой. Но это, вероятно, не полезный ответ для вас. Итак, что это за услуга? Интернет, корпоративная сеть, надежная рабочая группа, специализированная сеть точка-точка и т. Д.? Нужна ли высокая доступность? Надежность? Целостность данных? Контроль доступа? Даешь
mpez0

Ответы:

7

Я провел много исследований в этой области. Я даже использовал наборы правил AppArmor для MySQL . AppArmor - самая слабая форма разделения процессов. Свойство, которое я использую, заключается в том, что все процессы имеют права на запись в одни и те же каталоги, например /tmp/. Что хорошо в AppArmor, так это то, что он ломает некоторые эксплойты, не попадая в пути пользователя / администратора. Однако у AppArmor есть некоторые фундаментальные недостатки, которые не будут исправлены в ближайшее время.

SELinux очень безопасен, это также очень раздражает. В отличие от AppAmoror, большинство легитимных приложений не будут работать, пока SELinux не будет перенастроен. Чаще всего это приводит к неправильной настройке администратора SELinux или отключению всего этого вместе.

grsecurity - это очень большой пакет инструментов. То, что мне нравится больше всего, это расширенный chroot от grsecuirty. Это еще более безопасно, чем SELinux, хотя для установки chroot-тюрьмы требуется некоторое умение и некоторое время, когда SELinux и AppAprmor «просто работают».

Есть 4-я система, Виртуальная машина. В виртуальных средах были обнаружены уязвимости, которые могут позволить злоумышленнику «вырваться». Однако виртуальная машина имеет большее разделение, чем chroot, поскольку в виртуальной машине вы разделяете меньше ресурсов между процессами. Ресурсы, доступные для виртуальной машины, являются виртуальными и могут практически не перекрываться между другими виртуальными машинами. Это также относится к <buzzword>« облачным вычислениям » </buzzword>. В облачной среде между базой данных и веб-приложением может быть очень четкое разделение, что важно для безопасности. Также возможно, что 1 эксплойт может владеть всем облаком и всеми виртуальными машинами, работающими на нем.

ладья
источник
вместо <buzzword>тега вы можете просто написать «мой зад», каждый будет знать, что вы имеете в виду;)
Даниэль Динниес
Под VM вы подразумеваете Xen, KVM или LXC / Docker? Также просим ссылаться на ваши оценки.
Даниэль Динниес
1
@ Даниэль Динниес: здесь нет упоминаний, все это личное мнение хакера, который атакует современные приложения, защищенные с помощью этих методов смягчения - большой плюс в том, что ничто не идеально.
Ладья
1
@Daniel Dinnyes Если вас интересуют случаи неправильного использования, начните с предполагаемых вариантов использования. Установите дистрибутивы, использующие эти технологии, и разверните на них приложения. Прочтите о развертывании и настройке этих систем безопасности, а затем поищите слабые места.
Ладья
1
@Daniel Dinnyes рассмотрит выпущенные CVE и особенно любые публичные эксплойты для каждой платформы. Недавно был найден действительно хороший обход SELinux: exploit-db.com/exploits/40419
Ладья
1

Лично я бы использовал SELinux, потому что я бы в конечном итоге нацелился на некоторый вкус RHEL, который по большей части настроен из коробки. В Red Hat также есть отзывчивый сопровождающий и очень хорошая документация по настройке SELinux. Полезные ссылки ниже.

змееподобный
источник
да, но ням и selinux чертовски раздражают.
Ладья
1
Я нахожу, что CLI yum значительно более интуитивен, чем apt. SELinux раздражает, когда вы пытаетесь идти своим путем с нестандартными приложениями, но у меня никогда не возникало проблем со стандартными компонентами, кроме необходимости включать некоторые средства sebool для включения нестандартных функций (например, разрешить подключение сценариев httpd php в базу данных)
Офидиан