Was zu verwenden, um Linux-Box zu härten? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Ich plane, als Desktop-Computer wieder auf Linux zurückzugreifen. Ich möchte es sicherer machen. Und probieren Sie ein paar Härtetechniken aus, zumal ich mir einen eigenen Server zulegen möchte.

  • Was wäre eine gute, gesunde Verhärtungsstrategie? Welche Tools sollte ich verwenden - Apparmor, SELinux, SMACK, Chroot?
  • Sollte ich nur ein Tool verwenden, z. B. Apparmor, oder eine Kombination der oben genannten?
  • Welche Vor- und Nachteile haben diese Tools? Gibt es noch andere?
  • Welche haben ein vernünftiges Verhältnis von Konfiguration zu Sicherheit (Verbesserung)?
  • Welches würde ich lieber in einer Desktop-Umgebung verwenden? Welches in einer Serverumgebung.

So viele Fragen.

jottr
quelle
7
Ein Wort der Warnung: Probieren Sie alles aus, was Sie wollen, aber schalten Sie Sicherheitssysteme auf Produktionssystemen nicht ein, wenn Sie sie nicht genau verstehen. Viele echte Exploits richten sich eher gegen Fehlkonfigurationen als gegen Systemfehler. Mit Sicherheit bedeuten mehr Funktionen definitiv nichts Besseres.
Gilles 'SO- hör auf böse zu sein'
2
Es gibt kein einzelnes Sicherheitstool, das Ihren Computer auf magische Weise in einen unzerbrechlichen Computer verwandeln kann (dies ist sowieso unmöglich). Sie müssen hart arbeiten, experimentieren und die Einstellungen vieler verschiedener Tools kombinieren, um dies zu erreichen. Dies gilt sowohl für Desktops als auch für Servermaschinen. Versuchen Sie auch, Gilles 'Rat zu folgen. Bei der Anwendung von Sicherheitspraktiken auf Mehrbenutzer-Computern ist es schwierig, dass legitime Benutzer in keiner Weise beeinträchtigt werden.
Sakisk

Antworten:

9

AppArmour ist normalerweise einfacher als SELinux. SELinux ist recht komplex und kann sogar in militärischen Anwendungen verwendet werden, während AppArmour einfacher ist. SELinux wird auf i-Node-Ebene ausgeführt (dh Einschränkungen werden auf die gleiche Weise angewendet wie ACL- oder UNIX-Berechtigungen), während AppArmour auf Pfadebene angewendet wird (dh Sie geben den Zugriff basierend auf dem Pfad an, sodass er möglicherweise nicht angewendet wird, wenn sich der Pfad ändert ). AppArmour kann auch Unterprozesse schützen (wie nur mod_php), aber ich bin skeptisch in Bezug auf die tatsächliche Verwendung. AppArmour scheint seinen Weg in den Mainline-Kernel zu finden (es ist in -mm IIRC).

Ich weiß nicht viel über SMACK, aber es sieht aus wie vereinfachtes SELinux aus der Beschreibung. Es gibt auch RSBAC, wenn Sie es ansehen möchten.

chroot hat einen begrenzten Anwendungsbereich, und ich glaube nicht, dass es in einer Desktop-Umgebung von großem Nutzen ist (es kann verwendet werden, um Daemons vom Zugriff auf das gesamte System zu trennen - wie DNS-Daemon).

Auf jeden Fall lohnt es sich, generisches Hardening wie PaX, -Fstack-Protector usw. anzuwenden. Chroot können Sie verwenden, wenn Ihre Distribution AppArmour / SELinux unterstützt. Ich denke, SELinux eignet sich besser für Hochsicherheitsbereiche (es hat eine viel bessere Kontrolle über das System) und AppArmour ist besser für einfaches Härten.

Im Allgemeinen würde ich nicht die Mühe machen, generische Desktops zu härten, außer nicht genutzte Dienste auszuschalten, regelmäßig zu aktualisieren usw., es sei denn, Sie arbeiten in einem hochsicheren Bereich. Wenn Sie trotzdem sichern möchten, würde ich das verwenden, was Ihre Distribution unterstützt. Viele von ihnen benötigen zur Effektivität die Anwendungsunterstützung (zum Beispiel das Kompilieren von Tools zur Unterstützung von Attributen und schriftlichen Regeln). Daher würde ich empfehlen, die von Ihrer Distribution unterstützten Funktionen zu verwenden.

Maciej Piechotka
quelle
4

Verwenden Sie GRSecurity + PAX. Alles andere ist nur Marketingbullsh * t und / oder basiert größtenteils auf der Arbeit des PAX-Teams. Pipacs, der Hauptentwickler von PAX, hat auf der Black Hat 2011 / PWNIE eine Auszeichnung für sein Lebenswerk erhalten:

Seine technische Arbeit hatte einen übergroßen Einfluss auf die Sicherheit: Seine Ideen sind von grundlegender Bedeutung für Sicherheitsverbesserungen in allen wichtigen Betriebssystemen der letzten Jahre, und seine Ideen haben indirekt die modernsten Angriffstechniken gegen Speicherbeschädigung beeinflusst. Kein Angreifer kann heutzutage ernst genommen werden, der sich nicht mit defensiven Erfindungen befasst, die von unserem Sieger entwickelt wurden.

Holen Sie sich also grsecurity + pax, wenn Sie wirklich eine sichere Box wollen. Mit GRsec haben Sie die RBAC-Kontrolle über Ihren Computer, viele auf Dateisystemen (Chroot) basierende Schutzmechanismen. PaX schließt die meisten möglichen Angriffsmethoden aus, die von Hackern verwendet werden. Sie können Ihre Box auch mit paxtest testen, um festzustellen, über welche Schutzmechanismen und Schwachstellen Ihre Box verfügt.

Es kann zu Leistungseinbußen kommen. Lies die Hilfe :).

Jauzsika
quelle