¿Qué usar para fortalecer la caja de Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

Estoy planeando volver a Linux como una máquina de escritorio. Me gustaría hacerlo más seguro. E intente algunas técnicas de endurecimiento, especialmente porque planeo obtener mi propio servidor.

• ¿Cuál sería una buena estrategia de endurecimiento? ¿Qué herramientas debo usar: Apparmor, SELinux, SMACK, chroot?
• ¿Debo usar solo una herramienta, por ejemplo, Apparmor, o una combinación de las anteriores?
• ¿Qué ventajas / desventajas tienen estas herramientas? ¿Hay otros?
• ¿Cuáles tienen una relación sensata de configuración a seguridad (mejora)?
• ¿Cuál preferiría usar en un entorno de escritorio? Cuál en un entorno de servidor.

Muchas preguntas.

Por lo general, se cree que AppArmour es más simple que SELinux. SELinux es bastante complejo y puede usarse incluso en aplicaciones militares, mientras que AppArmour tiende a ser más simple. SELinux opera en el nivel de i-node (es decir, las restricciones se aplican de la misma manera que los permisos ACL o UNIX, por otro lado) mientras que AppArmour se aplica a nivel de ruta (es decir, usted especifica el acceso en función de la ruta, por lo que cuando la ruta cambia puede no aplicarse) ) AppArmour también puede proteger subprocesos (como mod_php solamente) pero de alguna manera soy escéptico sobre el uso real de los mismos. AppArmour parece encontrar su camino en el núcleo de la línea principal (está en -mm IIRC).

No sé mucho sobre SMACK, pero parece simplificado SELinux de la descripción. También hay RSBAC si desea verlo.

chroot tiene un alcance de uso limitado y no creo que sea muy útil en un entorno de escritorio (se puede usar para separar los demonios del acceso a todo el sistema, como el demonio DNS).

Sin duda, vale la pena aplicar un endurecimiento 'genérico' como PaX, -fstack-protector, etc. Chroot que puede usar cuando su distribución es compatible con AppArmour / SELinux. Supongo que SELinux es más adecuado para áreas de alta seguridad (tiene un control mucho mejor sobre el sistema) y AppArmour es mejor para un endurecimiento simple.

En general, no me molestaría en endurecer mucho el escritorio genérico, excepto desactivar los servicios no utilizados, actualizar regularmente, etc. a menos que trabaje en un área altamente segura. Si quieres asegurar de todos modos, usaría lo que tu distribución admite. Muchos de ellos para ser efectivos necesitan el soporte de la aplicación (por ejemplo, herramientas de compilación para admitir atributos, reglas escritas), por lo que recomendaría usar lo que su distribución admite.

Use GRSecurity + PAX. Todo lo demás solo es marketing bullsh * t y / o se basa principalmente en el trabajo del equipo PAX. El principal desarrollador honcho de PAX, pipacs acaba de ganar un premio de logro de por vida en Black Hat 2011 / PWNIE:

Su trabajo técnico ha tenido un impacto descomunal en la seguridad: sus ideas son fundamentales para las mejoras de seguridad en todos los principales sistemas operativos en los últimos años, y sus ideas han moldeado indirectamente la mayoría de las técnicas modernas de ataque de corrupción de memoria. Ningún atacante puede ser tomado en serio hoy en día que no trate con inventos defensivos iniciados por nuestro ganador.

Obtenga grsecurity + pax si realmente quiere una caja segura. GRsec le brinda control RBAC sobre su máquina, muchas protecciones basadas en el sistema de archivos (chroot), PaX cierra la mayoría de los posibles vectores de ataque que usan los hackers. También puede probar su caja con paxtest, para ver qué tipo de protecciones y vulnerabilidades tiene su caja.

Podría haber impactos en el rendimiento. Lee la ayuda :).