Intereting Posts
PULSEAUDIO не отображает мое устройство захвата ALSA в качестве источника захвата Что делает установка файловой системы с user_xattr? curl от sitemap.xml? Как передать аргумент в файле .desktop запустите qemu, предоставив ему путь к корню linux Как изменить файлы в Unix, чтобы избежать политики очистки файлов? Попытка найти все файлы в определенном каталоге, которые не указаны в других файлах Как заставить recordmydesktop записывать звук приложения на Debian / Squeeze? использовать загрузочный диск для перенаправления на флешку Скопируйте вложенные папки, содержащие не менее n файлов Сумма чисел с использованием awk Как ускорить работу скрипта на основе поиска grep? Что такое консультативная блокировка файлов, которые обычно используют системы Unix? Как выполнить двойную загрузку на машине с PGP WDE? Как добавить комментарии к многострочным операторам в сценарии Bash?

Что использовать для упрощения Linux-бокса? Аппаргор, SELinux, grsecurity, SMACK, chroot?

Я планирую вернуться к Linux в качестве настольной машины. Я хотел бы сделать его более безопасным. И попробуйте несколько методов упрочнения, тем более, что я планирую получить свой собственный сервер.

  • Что было бы хорошей, разумной и надежной стратегией? Какие инструменты я должен использовать – Apparmor, SELinux, SMACK, chroot?
  • Должен ли я использовать только один инструмент, например, Apparmor, или комбинацию из вышеперечисленного?
  • Какие преимущества / недостатки имеют эти инструменты? Есть ли другие?
  • У кого есть нормальная конфигурация для обеспечения безопасности (улучшения)?
  • Какой из них я бы предпочел использовать в среде рабочего стола? Какой из них в серверной среде.

Так много вопросов.

AppArmour обычно считается более простым, чем SELinux. SELinux довольно сложный и может использоваться даже в военных приложениях, в то время как AppArmour имеет тенденцию быть более простым. SELinux работает на уровне i-узла (т. Е. Ограничения применяются так же, как ACL или unix-разрешения, с другой стороны), в то время как AppArmour применяется на уровне пути (т.е. вы указываете доступ на основе пути, поэтому, когда изменение пути может не применяться ). AppArmour также может защищать подпроцессы (например, только mod_php), но я как-то скептически отношусь к его реальному использованию. AppArmour, похоже, находит свой путь в ядре mainline (он находится в -mm IIRC).

Я мало знаю о SMACK, но это выглядит как упрощенная SELinux из описания. Существует также RSBAC, если вы хотите посмотреть на него.

chroot имеют ограниченный объем использования, и я не думаю, что он будет очень полезен в среде рабочего стола (его можно использовать для разделения демонов на доступ всей системы – например, DNS-демона).

Разумеется, стоит применить «общее» упрощение, такое как PaX, -fstack-protector и т. Д. Chroot, который вы можете использовать, когда поддерживает дистрибутив, AppArmour / SELinux. Я полагаю, что SELinux лучше подходит для областей повышенной безопасности (он имеет гораздо лучший контроль над системой), и AppArmour лучше для простого упрочнения.

В общем, я не стал бы закапывать много общего рабочего стола (за исключением отключения неиспользуемых сервисов, регулярного обновления и т. Д.), Если вы не работаете в зоне повышенной безопасности. Если вы все равно хотите защитить, я бы использовал то, что поддерживает ваш дистрибутив. Многие из них должны быть эффективными для поддержки приложений (например, для компиляции инструментов для поддержки атрибутов, письменных правил), поэтому я бы советовал использовать то, что поддерживает ваш дистрибутив.

Используйте GRSecurity + PAX. Все остальное – это просто маркетинг bullsh * t и / или в основном основанный на работе команды PAX. Главный разработчик-пастор PAX, pipacs только выиграл награду за достижения в жизни в Black Hat 2011 / PWNIE:

Его техническая работа оказала негативное влияние на безопасность: его идеи имеют основополагающее значение для улучшения безопасности во всех основных операционных системах в последние годы, и его идеи косвенно формируют самые современные методы атаки на коррупцию. В настоящее время никто не может всерьез воспринимать злоумышленника, который не занимается защитными изобретениями, созданными нашим победителем.

Так что получите grsecurity + pax, если вам действительно нужен защищенный ящик. GRsec предоставляет вам RBAC-контроль над вашей машиной, множество защищенных файловой системой (chroot), PaX закрывает большинство возможных атак-хакеров. Вы также можете проверить свою коробку с помощью paxtest, чтобы узнать, какие меры защиты и уязвимости у вас есть.

Могут быть последствия для производительности. Прочтите помощь :).