Linuxボックスを強化するために何を使用しますか?Apparmor、SELinux、grsecurity、SMACK、chroot?


20

デスクトップマシンとしてLinuxに戻る予定です。より安全にしたいと思います。そして、特に私が自分のサーバーを手に入れることを計画しているので、いくつかの強化テクニックを試してください。

  • 適切な健全化戦略とは何でしょうか?どのツールを使用する必要があります-Apparmor、SELinux、SMACK、chroot?
  • Apparmorなどのツールを1つだけ使用するか、上記の組み合わせを使用する必要がありますか?
  • これらのツールにはどのような利点/欠点がありますか?他に何かありますか?
  • セキュリティ(改善)比率に対する正しい構成はどれですか?
  • デスクトップ環境でどちらを使用したいですか?サーバー環境のどれ。

非常に多くの質問。


7
警告:必要なすべてを実験しますが、十分に理解していない場合は運用システムでセキュリティシステムを有効にしないでください。現実の多くのエクスプロイトは、コアシステムの欠陥ではなく、構成の誤りに対するものです。セキュリティでは、より多くの機能がより良いことを意味するわけではありません。
ジル「SO-悪であるのをやめる」

2
コンピュータを魔法のように壊れないマシンに変えることができる単一のセキュリティツールはありません(これはとにかく不可能です)。それを達成するには、多くの異なるツールの設定を一生懸命に試し、実験し、組み合わせる必要があります。これは、デスクトップとサーバーマシンの両方に当てはまります。また、ジルのアドバイスに従うようにしてください。マルチユーザーマシンにセキュリティプラクティスを適用することの難しい部分は、正当なユーザーが何らかの方法で影響を受けてはならないことです。
サキスク

回答:


9

AppArmourは通常、SELinuxよりシンプルだと考えられています。SELinuxは非常に複雑で、軍事用アプリケーションでも使用できますが、AppArmourはよりシンプルになる傾向があります。SELinuxはiノードレベルで動作します(つまり、ACLまたはUNIXアクセス許可と同じ方法で制限が適用されます)が、AppArmourはパスレベルで適用されます(つまり、パスに基づいてアクセスを指定するため、パスが変更されても適用されません) )。AppArmourはサブプロセス(mod_phpのみなど)を保護することもできますが、実際の使用についてはどういうわけか懐疑的です。AppArmourは、メインラインカーネルに組み込まれているようです(-mm IIRCにあります)。

SMACKについてはあまり知りませんが、説明からは単純化されたSELinuxのように見えます。ご覧になりたい場合はRSBACもあります。

chrootの使用範囲は限られており、デスクトップ環境ではあまり役に立たないと思います(DNSデーモンのようなシステム全体のアクセスからデーモンを分離するために使用できます)。

確かに、PaX、-fstack-protectorなどの「ジェネリック」強化を適用する価値があります。ディストリビューションがサポートするときに使用できるChrootは、AppArmour / SELinuxもサポートします。SELinuxは高度なセキュリティ領域に適し(システムをよりよく制御できる)、AppArmourは単純な強化に適していると思います。

一般に、高度なセキュリティで保護された領域で作業しない限り、未使用のサービスをオフにしたり、定期的に更新したりすることを除いて、汎用デスクトップをあまり強化しません。とにかく保護したい場合は、あなたのディストリビューションがサポートしているものを使用します。それらの多くが効果的であるためには、アプリケーションのサポート(属性をサポートするためのツールのコンパイル、ルールの記述)が必要なので、あなたのディストリビューションがサポートしているものを使用することをお勧めします。


4

GRSecurity + PAXを使用します。それ以外はすべてbullsh * tのマーケティングであり、および/または主にPAXチームの仕事に基づいています。PAXのメイン開発者であるpipacsは、Black Hat 2011 / PWNIEで生涯功績賞を受賞しました。

彼の技術的な仕事はセキュリティに大きな影響を与えました:彼のアイデアは近年のすべての主要なオペレーティングシステムのセキュリティ改善の基本であり、彼のアイデアはほとんどの最新のメモリ破損攻撃技術を間接的に形成しました。私たちの勝者が開拓した防御的な発明を扱っていない攻撃者は、今日真剣に受け止めることはできません。

本当に安全なボックスが必要な場合は、grsecurity + paxを入手してください。GRsecは、マシンのRBAC制御、多くのファイルシステム(chroot)ベースの保護を提供し、PaXはハッカーが使用する可能性のある攻撃ベクトルのほとんどを閉じます。また、paxtestを使用してボックスをテストし、ボックスにどのような保護と脆弱性があるかを確認することもできます。

パフォーマンスに影響する可能性があります。ヘルプを読んでください:)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.