Linux kutusunu sertleştirmek için ne kullanılır? Apparmor, SELinux, güvenli güvenlik, SMACK, chroot?

20

Masaüstü bilgisayar olarak Linux'a geri dönmeyi planlıyorum. Daha güvenli hale getirmek istiyorum. Ve özellikle kendi sunucumu almayı planladığım için birkaç sertleştirme tekniği deneyin.

  • İyi, aklı başında bir sertleştirme stratejisi ne olurdu? Hangi araçları kullanmalıyım - Apparmor, SELinux, SMACK, chroot?
  • Apparmor gibi tek bir araç mı yoksa yukarıdakilerin bir kombinasyonunu mu kullanmalıyım?
  • Bu araçların hangi avantajları / dezavantajları vardır? Başka var mı?
  • Hangisinin aklı başında bir konfigürasyonun güvenlik (iyileştirme) oranı var?
  • Masaüstü ortamında hangisini kullanmayı tercih ederim? Hangisi bir sunucu ortamında.

Çok fazla soru.

security  chroot  selinux  grsecurity  hardening 
jottr
kaynak
7
Uyarı: İstediğiniz her şeyi deneyin, ancak bunları tam olarak anlamadıysanız üretim sistemlerindeki güvenlik sistemlerini açmayın. Gerçek dünyadaki birçok istismar çekirdek sistem kusurlarından ziyade yanlış konfigürasyonlara karşıdır. Güvenlik ile daha fazla özellik kesinlikle daha iyi anlamına gelmez.
Gilles 'SO- kötü olmayı kes'
2
Bilgisayarınızı sihirli bir şekilde kırılmaz bir makineye dönüştürebilecek tek bir güvenlik aracı yoktur (bu zaten imkansızdır). Bunu başarmak için çok çalışmalı, denemeli ve birçok farklı aracın ayarlarını birleştirmelisiniz. Bu hem masaüstü bilgisayarlar hem de sunucu makineleri için geçerlidir. Ayrıca, Gilles'in tavsiyelerine uymaya çalışın. Çok kullanıcılı makinelerde güvenlik uygulamaları uygulamasının zor bir parçası, meşru kullanıcıların hiçbir şekilde etkilenmemesi gerektiğidir.
sakisk

Yanıtlar:

9

AppArmour'un genellikle SELinux'dan daha basit olduğu düşünülmektedir. SELinux oldukça karmaşıktır ve AppArmour daha basit olma eğilimindeyken askeri uygulamalarda bile kullanılabilir. SELinux, i-düğüm seviyesinde çalışır (yani, kısıtlamalar ACL veya UNIX izinleriyle aynı şekilde uygulanır - diğer yandan), AppArmour yol düzeyinde uygulanır (yani yolu değiştiğinde yolu değiştirdiğinizde erişimi uygularsınız) ). AppArmour da alt süreçleri koruyabilir (sadece mod_php gibi) ama bir şekilde gerçek kullanımı konusunda şüpheliyim. AppArmour, ana çekirdeğe doğru yol alıyor gibi görünüyor (-mm IIRC'de).

SMACK hakkında çok şey bilmiyorum ama açıklamadan basitleştirilmiş SELinux gibi görünüyor. Ayrıca bakmak isterseniz RSBAC da var.

chroot sınırlı bir kullanım alanına sahiptir ve bir masaüstü ortamında çok fazla kullanım olacağını düşünmüyorum (cinleri tüm sistemin (DNS arka plan programı gibi) erişiminden ayırmak için kullanılabilir).

Elbette, PaX, -fstack-protector vb. Gibi 'jenerik' sertleştirmeyi uygulamaya değer. Distro destekleriniz AppArmour / SELinux desteklediğinde kullanabileceğiniz kök. Sanırım SELinux yüksek güvenlikli alanlar için daha uygundur (sistem üzerinde çok daha iyi kontrole sahiptir) ve AppArmour basit sertleştirme için daha iyidir.

Genel olarak, yüksek güvenlikli bir alanda çalışmadığınız sürece, kullanılmayan hizmetleri kapatmak, düzenli olarak güncellemek, vb.Gibi genel masaüstünü çok sertleştirmeye zahmet etmem. Yine de güvende olmak istiyorsanız, dağıtımınızın desteklediği şeyi kullanırdım. Birçoğunun etkili olması için uygulama desteğine ihtiyacı vardır (öznitelikleri desteklemek için eski derleme araçları, yazılı kurallar), bu yüzden dağıtımınızın desteklediği şeyi kullanmanızı öneririm.

Maciej Piechotka
kaynak
4

GRSecurity + PAX kullanın. Geri kalan her şey sadece PAX Ekibinin çalışmalarına dayanarak saçmalık ve / veya pazarlamaktır. PAX'in ana geliştirici honcho pipacs, Black Hat 2011 / PWNIE'de ömür boyu başarı ödülü kazandı:

Teknik çalışmasının güvenlik üzerinde büyük bir etkisi oldu: Fikirleri son yıllarda tüm büyük işletim sistemlerindeki güvenlik iyileştirmeleri için temel teşkil ediyor ve fikirleri dolaylı olarak en modern bellek bozulması tekniklerini şekillendirdi. Günümüzde kazananımızın öncülük ettiği savunma icatları ile ilgilenmeyen hiçbir saldırgan ciddiye alınamaz.

Gerçekten güvenli bir kutu istiyorsanız grsecurity + pax alın. GRsec, makineniz üzerinde RBAC kontrolü, çok sayıda dosya sistemi (chroot) koruması sağlar, PaX, bilgisayar korsanlarının kullandığı olası saldırı vektörlerinin çoğunu kapatır. Ayrıca kutunuzun ne tür koruma ve güvenlik açıklarına sahip olduğunu görmek için kutunuzu paxtest ile test edebilirsiniz.

Performans etkileri olabilir. Yardımı okuyun :).

Jauzsika
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.