¿Qué usar para fortalecer la caja de Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Estoy planeando volver a Linux como una máquina de escritorio. Me gustaría hacerlo más seguro. E intente algunas técnicas de endurecimiento, especialmente porque planeo obtener mi propio servidor.

  • ¿Cuál sería una buena estrategia de endurecimiento? ¿Qué herramientas debo usar: Apparmor, SELinux, SMACK, chroot?
  • ¿Debo usar solo una herramienta, por ejemplo, Apparmor, o una combinación de las anteriores?
  • ¿Qué ventajas / desventajas tienen estas herramientas? ¿Hay otros?
  • ¿Cuáles tienen una relación sensata de configuración a seguridad (mejora)?
  • ¿Cuál preferiría usar en un entorno de escritorio? Cuál en un entorno de servidor.

Muchas preguntas.

jottr
fuente
77
Una advertencia: experimente todo lo que quiera, pero no active los sistemas de seguridad en los sistemas de producción si no los comprende a fondo. Muchos exploits del mundo real están en contra de las configuraciones erróneas en lugar de las fallas del sistema central. Con seguridad, más funciones definitivamente no implican mejores.
Gilles 'SO- deja de ser malvado'
2
No existe una herramienta de seguridad única que pueda convertir mágicamente su computadora en una máquina irrompible (de todos modos, esto es imposible). Debe trabajar duro, experimentar y combinar la configuración de muchas herramientas diferentes para lograrlo. Esto es cierto tanto para equipos de escritorio como para máquinas de servidor. Además, trate de seguir el consejo de Gilles. Una parte difícil de aplicar prácticas de seguridad en máquinas multiusuario es que los usuarios legítimos no deben verse afectados de ninguna manera.
sakisk

Respuestas:

9

Por lo general, se cree que AppArmour es más simple que SELinux. SELinux es bastante complejo y puede usarse incluso en aplicaciones militares, mientras que AppArmour tiende a ser más simple. SELinux opera en el nivel de i-node (es decir, las restricciones se aplican de la misma manera que los permisos ACL o UNIX, por otro lado) mientras que AppArmour se aplica a nivel de ruta (es decir, usted especifica el acceso en función de la ruta, por lo que cuando la ruta cambia puede no aplicarse) ) AppArmour también puede proteger subprocesos (como mod_php solamente) pero de alguna manera soy escéptico sobre el uso real de los mismos. AppArmour parece encontrar su camino en el núcleo de la línea principal (está en -mm IIRC).

No sé mucho sobre SMACK, pero parece simplificado SELinux de la descripción. También hay RSBAC si desea verlo.

chroot tiene un alcance de uso limitado y no creo que sea muy útil en un entorno de escritorio (se puede usar para separar los demonios del acceso a todo el sistema, como el demonio DNS).

Sin duda, vale la pena aplicar un endurecimiento 'genérico' como PaX, -fstack-protector, etc. Chroot que puede usar cuando su distribución es compatible con AppArmour / SELinux. Supongo que SELinux es más adecuado para áreas de alta seguridad (tiene un control mucho mejor sobre el sistema) y AppArmour es mejor para un endurecimiento simple.

En general, no me molestaría en endurecer mucho el escritorio genérico, excepto desactivar los servicios no utilizados, actualizar regularmente, etc. a menos que trabaje en un área altamente segura. Si quieres asegurar de todos modos, usaría lo que tu distribución admite. Muchos de ellos para ser efectivos necesitan el soporte de la aplicación (por ejemplo, herramientas de compilación para admitir atributos, reglas escritas), por lo que recomendaría usar lo que su distribución admite.

Maciej Piechotka
fuente
4

Use GRSecurity + PAX. Todo lo demás solo es marketing bullsh * t y / o se basa principalmente en el trabajo del equipo PAX. El principal desarrollador honcho de PAX, pipacs acaba de ganar un premio de logro de por vida en Black Hat 2011 / PWNIE:

Su trabajo técnico ha tenido un impacto descomunal en la seguridad: sus ideas son fundamentales para las mejoras de seguridad en todos los principales sistemas operativos en los últimos años, y sus ideas han moldeado indirectamente la mayoría de las técnicas modernas de ataque de corrupción de memoria. Ningún atacante puede ser tomado en serio hoy en día que no trate con inventos defensivos iniciados por nuestro ganador.

Obtenga grsecurity + pax si realmente quiere una caja segura. GRsec le brinda control RBAC sobre su máquina, muchas protecciones basadas en el sistema de archivos (chroot), PaX cierra la mayoría de los posibles vectores de ataque que usan los hackers. También puede probar su caja con paxtest, para ver qué tipo de protecciones y vulnerabilidades tiene su caja.

Podría haber impactos en el rendimiento. Lee la ayuda :).

Jauzsika
fuente