Que faut-il utiliser pour durcir la boîte Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

20

Je prévois de revenir à Linux en tant que machine de bureau. Je voudrais le rendre plus sûr. Et essayez quelques techniques de durcissement, d'autant plus que j'ai l'intention d'obtenir mon propre serveur.

  • Quelle serait une bonne stratégie de durcissement saine? Quels outils dois-je utiliser - Apparmor, SELinux, SMACK, chroot?
  • Dois-je utiliser un seul outil, par exemple Apparmor, ou une combinaison des éléments ci-dessus?
  • Quels avantages / inconvénients ces outils présentent-ils? Y en a-t-il d'autres?
  • Lesquels ont un bon rapport configuration / sécurité (amélioration)?
  • Laquelle préférerais-je utiliser dans un environnement de bureau? Lequel dans un environnement serveur.

Tant de questions.

jottr
la source
7
Un mot d'avertissement: expérimentez tout ce que vous voulez, mais n'activez pas les systèmes de sécurité sur les systèmes de production si vous ne les comprenez pas parfaitement. De nombreux exploits du monde réel sont contre les erreurs de configuration plutôt que contre les failles du système principal. Avec la sécurité, plus de fonctionnalités n'impliquent certainement pas mieux.
Gilles 'SO- arrête d'être méchant'
2
Il n'y a pas d'outil de sécurité unique qui puisse par magie transformer votre ordinateur en une machine incassable (c'est de toute façon impossible). Vous devez travailler dur, expérimenter et combiner les paramètres de nombreux outils différents pour y parvenir. Cela est vrai à la fois pour les ordinateurs de bureau et pour les ordinateurs serveurs. Essayez également de suivre les conseils de Gilles. Une partie difficile de l'application des pratiques de sécurité sur les machines multi-utilisateurs est que les utilisateurs légitimes ne doivent en aucun cas être affectés.
sakisk

Réponses:

9

AppArmour est généralement considéré comme plus simple que SELinux. SELinux est assez complexe et peut être utilisé même dans des applications militaires tandis qu'AppArmour a tendance à être plus simple. SELinux fonctionne au niveau du nœud i (c'est-à-dire que les restrictions sont appliquées de la même manière que les autorisations ACL ou UNIX - d'autre part) tandis que AppArmour s'applique au niveau du chemin (c'est-à-dire que vous spécifiez l'accès en fonction du chemin, donc quand le chemin change, il peut ne pas s'appliquer) ). AppArmour peut également protéger les sous-processus (comme mod_php uniquement) mais je suis en quelque sorte sceptique quant à son utilisation réelle. AppArmour semble trouver sa place dans le noyau principal (il est en -mm IIRC).

Je ne connais pas grand-chose à SMACK mais cela ressemble à SELinux simplifié d'après la description. Il y a aussi RSBAC si vous voulez le regarder.

chroot a un champ d'utilisation limité et je ne pense pas qu'il serait très utile dans un environnement de bureau (il peut être utilisé pour séparer les démons de l'accès à l'ensemble du système - comme le démon DNS).

Pour sûr, il vaut la peine d'appliquer un durcissement «générique» tel que PaX, -fstack-protector etc. Chroot que vous pouvez utiliser lorsque votre distribution prend en charge AppArmour / SELinux. Je suppose que SELinux est mieux adapté aux zones de haute sécurité (il a un bien meilleur contrôle sur le système) et AppArmour est meilleur pour un durcissement simple.

En général, je ne prendrais pas la peine de durcir beaucoup le bureau générique, sauf en désactivant les services inutilisés, en mettant à jour régulièrement, etc., sauf si vous travaillez dans une zone hautement sécurisée. Si vous voulez sécuriser de toute façon, j'utiliserais ce que votre distribution prend en charge. Beaucoup d'entre eux pour être efficaces ont besoin du support de l'application (par exemple des outils de compilation pour supporter les attributs, les règles écrites), donc je conseillerais d'utiliser ce que votre distribution supporte.

Maciej Piechotka
la source
4

Utilisez GRSecurity + PAX. Tout le reste est juste du marketing bullsh * t et / ou principalement basé sur le travail de l'équipe PAX. Le développeur principal honcho de PAX, pipacs vient de remporter un prix pour l'ensemble de ses réalisations à Black Hat 2011 / PWNIE:

Son travail technique a eu un impact démesuré sur la sécurité: ses idées sont fondamentales pour l'amélioration de la sécurité dans tous les principaux systèmes d'exploitation ces dernières années, et ses idées ont indirectement façonné la plupart des techniques d'attaque de corruption de mémoire modernes. Aucun attaquant ne peut être pris au sérieux de nos jours qui ne traite pas des inventions défensives lancées par notre vainqueur.

Obtenez donc grsecurity + pax si vous voulez vraiment une boîte sécurisée. GRsec vous donne le contrôle RBAC sur votre machine, beaucoup de protections basées sur le système de fichiers (chroot), PaX ferme la plupart des vecteurs d'attaque possibles que les pirates utilisent. Vous pouvez également tester votre box avec paxtest, pour voir quel type de protections et de vulnérabilités votre box possède.

Il pourrait y avoir des impacts sur les performances. Lisez l'aide :).

Jauzsika
la source