Saya harus mengatur server yang seaman mungkin. Peningkatan keamanan apa yang akan Anda gunakan dan mengapa, SELinux, AppArmor atau grsecurity? Bisakah Anda memberi saya beberapa tips, petunjuk, pro / kontra untuk ketiganya?
AFAIK:
- SELinux: paling kuat tetapi paling kompleks
- AppArmor: konfigurasi / manajemen yang lebih sederhana daripada SELinux
- grsecurity: konfigurasi sederhana karena pelatihan otomatis, lebih banyak fitur dari sekadar kontrol akses
Jawaban:
Saya telah melakukan banyak penelitian di bidang ini. Saya bahkan telah mengeksploitasi aturan AppArmor untuk MySQL . AppArmor adalah bentuk proses pemisahan terlemah. Properti yang saya eksploitasi adalah bahwa semua proses memiliki hak istimewa menulis ke beberapa direktori yang sama seperti
/tmp/
. Apa yang baik tentang AppArmor adalah ia merusak beberapa eksploitasi tanpa mengganggu pengguna / administrator. Namun AppArmor memiliki beberapa kelemahan mendasar yang tidak akan diperbaiki dalam waktu dekat.SELinux sangat aman, juga sangat mengganggu. Tidak seperti AppAmoror, sebagian besar aplikasi yang sah tidak akan berjalan sampai SELinux telah dikonfigurasi ulang. Paling sering ini menghasilkan kesalahan konfigurasi administrator SELinux atau menonaktifkan semuanya bersamaan.
grsecurity adalah paket alat yang sangat besar. Yang paling saya sukai adalah chroot grsecuirty yang ditingkatkan. Ini bahkan lebih aman daripada SELinux, meskipun dibutuhkan beberapa keterampilan dan waktu untuk mengatur jail chroot di mana SELinux dan AppAprmor "hanya bekerja".
Ada sistem ke-4, Mesin Virtual. Kerentanan telah ditemukan di lingkungan VM yang memungkinkan penyerang untuk "keluar". Namun VM memiliki pemisahan yang lebih besar daripada chroot karena VM Anda berbagi sumber daya lebih sedikit antara proses. Sumber daya yang tersedia untuk VM adalah virtual, dan dapat memiliki sedikit atau tidak ada tumpang tindih antara VM lain. Ini juga berkaitan dengan
<buzzword>
" komputasi awan "</buzzword>
. Dalam lingkungan cloud Anda bisa memiliki pemisahan yang sangat bersih antara database dan aplikasi web Anda, yang penting untuk keamanan. Mungkin juga 1 eksploit dapat memiliki seluruh cloud dan semua VM berjalan di atasnya.sumber
<buzzword>
tag Anda hanya dapat menulis "pantatku", semua orang akan tahu apa yang Anda maksud;)Secara pribadi, saya akan menggunakan SELinux karena saya akhirnya menargetkan beberapa rasa RHEL yang sebagian besar sudah diatur di luar kotak ini. Ada juga satu set pengelola responsif di Red Hat dan banyak dokumentasi yang sangat bagus di luar sana tentang konfigurasi SELinux. Tautan yang bermanfaat di bawah ini.
sumber