Apa yang digunakan untuk mengeraskan kotak Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Saya berencana untuk kembali ke Linux sebagai mesin Desktop. Saya ingin membuatnya lebih aman. Dan coba beberapa teknik pengerasan, terutama karena saya berencana untuk mendapatkan server sendiri.

  • Apa yang akan menjadi strategi pengerasan yang baik dan waras? Alat apa yang harus saya gunakan - Apparmor, SELinux, SMACK, chroot?
  • Haruskah saya menggunakan hanya satu alat, misalnya Apparmor, atau kombinasi dari yang di atas?
  • Keuntungan / kerugian apa yang dimiliki alat ini? Apakah ada yang lain?
  • Rasio konfigurasi waras terhadap keamanan (peningkatan) yang mana?
  • Mana yang lebih suka saya gunakan di lingkungan Desktop? Yang mana di lingkungan server.

Banyak sekali pertanyaan.

jottr
sumber
7
Kata peringatan: coba semua yang Anda inginkan, tetapi jangan nyalakan sistem keamanan pada sistem produksi jika Anda tidak memahaminya secara menyeluruh. Banyak eksploitasi dunia nyata menentang kesalahan konfigurasi daripada kelemahan sistem inti. Dengan keamanan, lebih banyak fitur pasti tidak menyiratkan lebih baik.
Gilles 'SANGAT berhenti menjadi jahat'
2
Tidak ada alat keamanan tunggal yang secara ajaib dapat mengubah komputer Anda menjadi mesin yang tidak bisa dipecahkan (ini tidak mungkin). Anda harus bekerja keras, bereksperimen, dan menggabungkan pengaturan banyak alat berbeda untuk mencapai itu. Ini berlaku untuk desktop dan untuk mesin server. Juga, cobalah mengikuti saran Gilles. Bagian sulit dari penerapan praktik keamanan pada mesin multi-pengguna adalah bahwa pengguna yang sah tidak boleh terpengaruh dengan cara apa pun.
sakisk

Jawaban:

9

AppArmour biasanya dianggap lebih sederhana daripada SELinux. SELinux sangat kompleks dan dapat digunakan bahkan dalam aplikasi militer sementara AppArmour cenderung lebih sederhana. SELinux beroperasi pada tingkat i-simpul (yaitu pembatasan diterapkan dengan cara yang sama seperti izin ACL atau UNIX - di sisi lain) sementara AppArmour berlaku di tingkat jalur (yaitu Anda menentukan akses berdasarkan jalur sehingga ketika jalur perubahan itu mungkin tidak berlaku ). AppArmour juga dapat melindungi subproses (seperti mod_php saja) tetapi saya entah bagaimana skeptis tentang penggunaan sebenarnya. AppArmour tampaknya menemukan jalannya ke kernel mainline (itu ada di -mm IIRC).

Saya tidak tahu banyak tentang SMACK tetapi sepertinya SELinux disederhanakan dari deskripsi. Ada juga RSBAC jika Anda ingin melihatnya.

chroot memiliki cakupan penggunaan terbatas dan saya pikir itu tidak akan banyak berguna di lingkungan desktop (dapat digunakan untuk memisahkan daemon dari akses seluruh sistem - seperti DNS daemon).

Yang pasti, perlu menerapkan pengerasan 'generik' seperti PaX, -fstack-protector dll. Chroot dapat Anda gunakan ketika distro Anda mendukung begitu juga AppArmour / SELinux. Saya kira SELinux lebih cocok untuk area keamanan tinggi (memiliki kontrol yang jauh lebih baik atas sistem) dan AppArmour lebih baik untuk pengerasan sederhana.

Secara umum, saya tidak akan terlalu repot untuk mengeraskan desktop generik, kecuali mematikan layanan yang tidak digunakan, memperbarui secara teratur, dll kecuali Anda bekerja di area yang sangat aman. Jika Anda tetap ingin mengamankan, saya akan menggunakan apa yang didukung oleh distro Anda. Banyak dari mereka yang efektif membutuhkan dukungan aplikasi (untuk alat kompilasi ex untuk mendukung atribut, aturan tertulis) jadi saya akan menyarankan untuk menggunakan apa yang didukung oleh distro Anda.

Maciej Piechotka
sumber
4

Gunakan GRSecurity + PAX. Yang lainnya hanyalah omong kosong pemasaran dan / atau sebagian besar didasarkan pada pekerjaan Tim PAX. Honcho pengembang utama PAX, pipacs baru saja memenangkan penghargaan prestasi seumur hidup di Black Hat 2011 / PWNIE:

Pekerjaan teknisnya memiliki dampak besar pada keamanan: Gagasannya sangat mendasar bagi peningkatan keamanan di semua sistem operasi utama dalam beberapa tahun terakhir, dan gagasannya secara tidak langsung telah membentuk sebagian besar teknik serangan korupsi-memori modern. Tidak ada penyerang yang bisa dianggap serius saat ini yang tidak berurusan dengan penemuan defensif yang dipelopori oleh pemenang kami.

Jadi dapatkan grsecurity + pax jika Anda benar-benar menginginkan kotak yang aman. GRsec memberi Anda kendali RBAC atas mesin Anda, banyak perlindungan berbasis filesystem (chroot), PaX menutup sebagian besar kemungkinan serangan vektor yang digunakan peretas. Anda juga dapat menguji kotak Anda dengan paxtest, untuk melihat perlindungan dan kerentanan seperti apa yang dimiliki kotak Anda.

Mungkin ada dampak kinerja. Baca bantuannya :).

Jauzsika
sumber