Что использовать для укрепления Linux box? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Я планирую вернуться к Linux в качестве настольного компьютера. Я хотел бы сделать это более безопасным. И попробуйте несколько методов защиты, особенно если я планирую получить свой собственный сервер.

  • Какая была бы хорошая, вменяемая стратегия закалки? Какие инструменты мне следует использовать - Apparmor, SELinux, SMACK, chroot?
  • Должен ли я использовать только один инструмент, например, Apparmor, или комбинацию вышеперечисленного?
  • Какие преимущества / недостатки у этих инструментов? Есть ли другие?
  • Какие из них имеют разумную конфигурацию в отношении безопасности (улучшения)?
  • Какой из них я бы предпочел использовать в среде рабочего стола? Какой в ​​серверной среде.

Так много вопросов.

jottr
источник
7
Слово предупреждения: экспериментируйте, сколько хотите, но не включайте системы безопасности в производственных системах, если вы не понимаете их полностью. Многие реальные эксплойты направлены против неправильной конфигурации, а не на недостатки основной системы. С безопасностью, больше возможностей определенно не означает лучше.
Жиль "ТАК - перестань быть злым"
2
Не существует единого инструмента безопасности, который мог бы волшебным образом превратить ваш компьютер в небьющийся компьютер (в любом случае это невозможно). Вы должны усердно работать, экспериментировать и комбинировать настройки множества различных инструментов для достижения этой цели. Это верно как для настольных компьютеров, так и для серверных машин. Кроме того, попробуйте последовать совету Жиля. Трудная часть применения методов безопасности на многопользовательских машинах заключается в том, что на законных пользователей не должно быть никакого влияния.
Сакиск

Ответы:

9

AppArmour обычно считается более простым, чем SELinux. SELinux довольно сложен и может использоваться даже в военных приложениях, в то время как AppArmour, как правило, проще. SELinux работает на уровне i-узла (то есть ограничения применяются так же, как разрешения ACL или UNIX - с другой стороны), в то время как AppArmour применяется на уровне пути (т. Е. Вы указываете доступ на основе пути, поэтому при изменении пути он может не применяться ). AppArmour также может защищать подпроцессы (например, только mod_php), но я почему-то скептически отношусь к его реальному использованию. AppArmour, похоже, нашел свое отражение в основном ядре (оно находится в -mm IIRC).

Я не знаю много о SMACK, но это выглядит как упрощенный SELinux из описания. Существует также RSBAC, если вы хотите посмотреть на него.

У chroot ограниченная область применения, и я не думаю, что он будет полезен в среде рабочего стола (его можно использовать для отделения демонов от доступа ко всей системе, например, к демону DNS).

Конечно, стоит применить «универсальную» защиту, такую ​​как PaX, -fstack-protector и т. Д. Chroot, который вы можете использовать, когда ваш дистрибутив поддерживает, так же как и AppArmour / SELinux. Я полагаю, что SELinux лучше подходит для областей с высоким уровнем безопасности (он намного лучше контролирует систему), а AppArmour лучше для простого усиления безопасности.

В общем, я бы не стал слишком сильно укреплять общий рабочий стол, за исключением отключения неиспользуемых служб, регулярного обновления и т. Д., Если вы не работаете в высокозащищенной области. Если вы все равно хотите обезопасить себя, я бы использовал то, что поддерживает ваш дистрибутив. Многие из них, чтобы быть эффективными, нуждаются в поддержке приложений (для бывших инструментов компиляции для поддержки атрибутов, написанных правил), поэтому я бы посоветовал использовать то, что поддерживает ваш дистрибутив.

Мацей Печотка
источник
4

Используйте GRSecurity + PAX. Все остальное - просто маркетинговая ерунда и / или в основном основанная на работе команды PAX. Главный разработчик PAX, pipacs, только что получил награду за достижения в жизни на Black Hat 2011 / PWNIE:

Его техническая работа оказала огромное влияние на безопасность: его идеи имеют основополагающее значение для улучшения безопасности во всех основных операционных системах в последние годы, и его идеи косвенным образом сформировали большинство современных методов атак с повреждением памяти. В наше время ни один злоумышленник не может восприниматься всерьез, если он не касается защитных изобретений, предложенных нашим победителем.

Так что получите grsecurity + pax, если вы действительно хотите безопасный ящик. GRsec дает вам контроль RBAC над вашей машиной, множество защит на основе файловой системы (chroot), PaX закрывает большинство возможных векторов атаки, используемых хакерами. Вы также можете проверить свою коробку с paxtest, чтобы увидеть, какие виды защиты и уязвимости есть у вашей коробки.

Там может быть влияние на производительность. Прочитайте помощь :).

Jauzsika
источник