Dùng gì để làm cứng hộp Linux? Apparmor, SELinux, grsecurance, SMACK, chroot?


20

Tôi đang có kế hoạch quay trở lại Linux với tư cách là một máy tính để bàn. Tôi muốn làm cho nó an toàn hơn. Và thử một vài kỹ thuật làm cứng, đặc biệt là khi tôi có kế hoạch lấy máy chủ của riêng mình.

  • Điều gì sẽ là một chiến lược cứng rắn tốt? Tôi nên sử dụng công cụ nào - Apparmor, SELinux, SMACK, chroot?
  • Tôi có nên sử dụng chỉ một công cụ, ví dụ như Apparmor hoặc kết hợp các công cụ trên?
  • Những công cụ này có những ưu điểm / nhược điểm gì? Có ai khác không?
  • Mà có một cấu hình lành mạnh để bảo mật (cải thiện) tỷ lệ?
  • Cái nào tôi muốn sử dụng trong môi trường máy tính để bàn? Cái nào trong môi trường máy chủ.

Rất nhiều câu hỏi.


7
Một lời cảnh báo: thử nghiệm tất cả những gì bạn muốn, nhưng đừng bật hệ thống bảo mật trên các hệ thống sản xuất nếu bạn không hiểu kỹ về chúng. Rất nhiều khai thác trong thế giới thực chống lại các cấu hình sai thay vì các lỗi hệ thống cốt lõi. Với bảo mật, nhiều tính năng chắc chắn không ngụ ý tốt hơn.
Gilles 'SO- ngừng trở nên xấu xa'

2
Không có một công cụ bảo mật nào có thể biến máy tính của bạn thành một cỗ máy không thể phá vỡ một cách kỳ diệu (dù sao điều này là không thể). Bạn phải làm việc chăm chỉ, thử nghiệm và kết hợp các cài đặt của nhiều công cụ khác nhau để đạt được điều đó. Điều này đúng cho cả máy tính để bàn và máy chủ. Ngoài ra, hãy cố gắng làm theo lời khuyên của Gilles. Một phần khó của việc áp dụng các thực tiễn bảo mật trên các máy nhiều người dùng là người dùng hợp pháp không bị ảnh hưởng dưới bất kỳ hình thức nào.
sakisk

Câu trả lời:


9

AppArmour thường được cho là đơn giản hơn so với SELinux. SELinux khá phức tạp và có thể được sử dụng ngay cả trong các ứng dụng quân sự trong khi AppArmour có xu hướng đơn giản hơn. SELinux hoạt động ở cấp nút i (nghĩa là các hạn chế được áp dụng giống như các quyền ACL hoặc UNIX - mặt khác) trong khi AppArmour áp dụng ở cấp đường dẫn (nghĩa là bạn chỉ định quyền truy cập dựa trên đường dẫn để khi thay đổi đường dẫn có thể không áp dụng ). AppArmour cũng có thể bảo vệ các quy trình con (chỉ như mod_php) nhưng tôi hơi nghi ngờ về việc sử dụng thực sự của nó. AppArmour dường như tìm đường vào kernel mainline (nó nằm trong -mm IIRC).

Tôi không biết nhiều về SMACK nhưng có vẻ như đơn giản hóa Selinux từ mô tả. Ngoài ra còn có RSBAC nếu bạn muốn xem xét nó.

chroot có phạm vi sử dụng hạn chế và tôi không nghĩ nó sẽ được sử dụng nhiều trong môi trường máy tính để bàn (nó có thể được sử dụng để tách daemon khỏi quyền truy cập của toàn bộ hệ thống - như daemon DNS).

Chắc chắn, đáng để áp dụng quá trình làm cứng 'chung chung' như PaX, -fstack-bảo vệ, v.v. Chroot bạn có thể sử dụng khi bản phân phối của bạn hỗ trợ AppArmour / SELinux cũng vậy. Tôi đoán SELinux phù hợp hơn cho các khu vực bảo mật cao (nó có khả năng kiểm soát hệ thống tốt hơn nhiều) và AppArmour tốt hơn cho việc làm cứng đơn giản.

Nói chung, tôi sẽ không làm cứng máy tính để bàn chung chung, ngoại trừ tắt các dịch vụ không sử dụng, cập nhật thường xuyên, trừ khi bạn làm việc trong khu vực được bảo mật cao. Nếu bạn muốn bảo mật bằng mọi cách, tôi sẽ sử dụng những gì bản phân phối của bạn đang hỗ trợ. Nhiều trong số chúng có hiệu quả cần hỗ trợ ứng dụng (đối với các công cụ biên dịch cũ để hỗ trợ các thuộc tính, quy tắc bằng văn bản), vì vậy tôi khuyên bạn nên sử dụng những gì bản phân phối của bạn đang hỗ trợ.


4

Sử dụng GRSecurance + PAX. Mọi thứ khác chỉ là tiếp thị nhảm nhí và / hoặc chủ yếu dựa trên công việc của Nhóm PAX. Nhà phát triển chính của PAX, Pipacs vừa giành giải thưởng thành tựu trọn đời tại Black Hat 2011 / PWNIE:

Công việc kỹ thuật của ông đã có tác động ngoại cỡ đối với an ninh: Ý tưởng của ông là nền tảng cho cải tiến bảo mật trong tất cả các hệ điều hành lớn trong những năm gần đây và ý tưởng của ông đã gián tiếp định hình hầu hết các kỹ thuật tấn công tham nhũng bộ nhớ hiện đại. Ngày nay, không có kẻ tấn công nào có thể được thực hiện nghiêm túc mà không đối phó với các phát minh phòng thủ được tiên phong bởi người chiến thắng của chúng tôi.

Vì vậy, nhận được bảo mật + pax nếu bạn thực sự muốn một hộp an toàn. GRsec cung cấp cho bạn quyền kiểm soát RBAC trên máy của bạn, rất nhiều biện pháp bảo vệ dựa trên hệ thống tệp (chroot), PaX đóng hầu hết các vectơ tấn công mà tin tặc sử dụng. Bạn cũng có thể kiểm tra hộp của mình bằng paxtest, để xem loại bảo vệ và lỗ hổng nào mà hộp của bạn có.

Có thể có tác động hiệu suất. Đọc giúp đỡ :).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.