O que usar para proteger a caixa do Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Estou planejando voltar ao Linux como uma máquina de desktop. Eu gostaria de torná-lo mais seguro. E tente algumas técnicas de proteção, principalmente porque pretendo obter meu próprio servidor.

  • O que seria uma boa e sã estratégia de fortalecimento? Quais ferramentas devo usar - Apparmor, SELinux, SMACK, chroot?
  • Devo usar apenas uma ferramenta, por exemplo, Apparmor, ou uma combinação das opções acima?
  • Quais vantagens / desvantagens essas ferramentas têm? Existem outros?
  • Quais possuem uma proporção sadia de configuração para segurança (melhoria)?
  • Qual deles eu preferiria usar em um ambiente de área de trabalho? Qual em um ambiente de servidor.

Tantas perguntas.

jottr
fonte
7
Uma palavra de aviso: experimente o que quiser, mas não ative os sistemas de segurança nos sistemas de produção se não os entender completamente. Muitas explorações do mundo real são contra configurações incorretas e não falhas do sistema principal. Com segurança, mais recursos definitivamente não significam melhor.
Gilles 'SO- stop be evil'
2
Não existe uma ferramenta de segurança única que possa transformar magicamente o seu computador em uma máquina inquebrável (isso é impossível de qualquer maneira). Você deve trabalhar duro, experimentar e combinar as configurações de muitas ferramentas diferentes para conseguir isso. Isso é verdade tanto para desktops quanto para servidores. Além disso, tente seguir o conselho de Gilles. Uma parte difícil da aplicação de práticas de segurança em máquinas multiusuário é que usuários legítimos não devem ser afetados de forma alguma.
Sakisk

Respostas:

9

O AppArmour é geralmente considerado mais simples que o SELinux. O SELinux é bastante complexo e pode ser usado mesmo em aplicações militares, enquanto o AppArmour tende a ser mais simples. O SELinux opera no nível do nó i (ou seja, as restrições são aplicadas da mesma maneira que as permissões ACL ou UNIX - por outro lado), enquanto o AppArmour se aplica no nível do caminho (ou seja, você especifica o acesso com base no caminho, portanto, quando o caminho muda, pode não ser aplicável ) O AppArmour também pode proteger subprocessos (apenas mod_php), mas, de alguma forma, sou cético em relação ao uso real dele. O AppArmour parece encontrar o caminho para o kernel da linha principal (ele está em -mm IIRC).

Não sei muito sobre o SMACK, mas parece que o SELinux simplificado da descrição. Há também o RSBAC, se você quiser dar uma olhada.

O chroot tem um escopo de uso limitado e não acho que seria muito útil em um ambiente de desktop (ele pode ser usado para separar daemons do acesso de todo o sistema - como o daemon DNS).

Certamente, vale a pena aplicar o fortalecimento 'genérico', como PaX, -fstack-protetor etc. Chroot que você pode usar quando sua distro suportar, assim como o AppArmour / SELinux. Eu acho que o SELinux é mais adequado para áreas de alta segurança (ele tem um controle muito melhor sobre o sistema) e o AppArmour é melhor para o fortalecimento simples.

Em geral, eu não me incomodaria muito em proteger a área de trabalho genérica, exceto desligar serviços não utilizados, atualizar regularmente etc., a menos que você trabalhe em uma área altamente segura. Se você quiser proteger de qualquer maneira, eu usaria o que sua distribuição está apoiando. Muitos deles, para serem eficazes, precisam do suporte do aplicativo (para ferramentas de compilação ex para oferecer suporte a atributos, regras escritas), por isso aconselho a usar o que sua distribuição está suportando.

Maciej Piechotka
fonte
4

Use GRSecurity + PAX. Tudo o resto é apenas besteira de marketing * e / ou principalmente baseada no trabalho da equipe PAX. Principal honcho desenvolvedor do PAX, os pipacs acabaram de ganhar um prêmio de conquista na Black Hat 2011 / PWNIE:

Seu trabalho técnico teve um grande impacto na segurança: suas idéias são fundamentais para melhorias de segurança em todos os principais sistemas operacionais dos últimos anos, e suas idéias moldaram indiretamente a maioria das técnicas modernas de ataque à corrupção de memória. Hoje em dia, nenhum atacante pode ser levado a sério que não lide com invenções defensivas pioneiras por nosso vencedor.

Portanto, adquira grsecurity + pax se você realmente deseja uma caixa segura. O GRsec oferece controle RBAC sobre sua máquina, muitas proteções baseadas em sistema de arquivos (chroot), o PaX fecha a maioria dos possíveis vetores de ataque que os hackers usam. Você também pode testar sua caixa com paxtest, para ver que tipo de proteção e vulnerabilidade sua caixa possui.

Pode haver impactos no desempenho. Leia a ajuda :).

Jauzsika
fonte