리눅스 박스를 강화하기 위해 무엇을 사용해야합니까? 의류, SELinux, grsecurity, SMACK, chroot?

데스크톱 시스템으로 Linux로 돌아갈 계획입니다. 더 안전하게 만들고 싶습니다. 특히 자체 서버를 확보 할 계획이므로 몇 가지 강화 기술을 시도하십시오.

• 제정신 강화 전략은 무엇입니까? Apparmor, SELinux, SMACK, chroot 중 어떤 도구를 사용해야합니까?
• 예를 들어 의류, 또는 위의 조합 중 하나의 도구 만 사용해야합니까?
• 이 도구에는 어떤 장단점이 있습니까? 다른 사람이 있습니까?
• 안전한 구성 대 보안 (개선) 비율은 어느 것입니까?
• 데스크탑 환경에서 어느 것을 사용 하시겠습니까? 서버 환경에서 어느 것.

너무 많은 질문들.

AppArmour는 일반적으로 SELinux보다 단순하다고 생각됩니다. SELinux는 상당히 복잡하며 군사용 애플리케이션에서도 사용될 수 있지만 AppArmour는 더 단순합니다. SELinux는 i- 노드 레벨에서 작동합니다 (즉, 제한 사항은 ACL 또는 UNIX 권한과 같은 방식으로 적용됨). 반면 AppArmour는 경로 레벨에서 적용됩니다 (즉, 경로를 기반으로 액세스를 지정하여 경로 변경시 적용되지 않을 수 있음) ). AppArmour는 mod_php와 같은 하위 프로세스도 보호 할 수 있지만 실제 사용에 대해서는 회의적입니다. AppArmour는 메인 라인 커널 (-mm IIRC에 있음)을 찾는 것 같습니다.

SMACK에 대해서는 잘 모르지만 설명에서 단순화 된 SELinux처럼 보입니다. 당신이 그것을보고 싶다면 RSBAC도 있습니다.

chroot는 사용 범위가 제한되어 있으며 데스크탑 환경에서 많이 사용되지 않을 것이라고 생각합니다 (DNS 데몬과 같은 전체 시스템의 액세스에서 데몬을 분리하는 데 사용할 수 있음).

확실히 PaX, -fstack-protector 등과 같은 '일반적인'강화를 적용하는 것이 좋습니다. 배포판이 AppArmour / SELinux를 지원할 때 사용할 수있는 Chroot. SELinux는 보안 수준이 높은 영역 (시스템에 대한 제어 기능이 훨씬 우수함)에 더 적합하고 AppArmour가 간단한 강화에 더 적합하다고 생각합니다.

일반적으로 보안이 철저한 지역에서 작업하지 않는 한 사용하지 않는 서비스를 끄거나 정기적으로 업데이트하는 등을 제외하고는 일반 데스크톱을 크게 강화하지 않아도됩니다. 어쨌든 보안을 유지하려면 배포판이 지원하는 것을 사용합니다. 그들 중 많은 사람들이 효과적이려면 응용 프로그램 지원 (속성, 서면 규칙을 지원하는 컴파일 도구의 경우)이 필요하므로 배포판이 지원하는 것을 사용하는 것이 좋습니다.

GRSecurity + PAX를 사용하십시오. 그 밖의 모든 것들은 단지 마케팅 불일치 및 / 또는 PAX 팀의 작업을 기반으로합니다. PAX의 주요 개발자 혼 초인 pipacs는 Black Hat 2011 / PWNIE에서 평생 공로상을 받았습니다.

그의 기술 작업은 보안에 큰 영향을 미쳤습니다. 그의 아이디어는 최근 몇 년 동안 모든 주요 운영 체제의 보안 개선에 필수적이며, 그의 아이디어는 가장 현대적인 메모리 손상 공격 기술을 간접적으로 형성했습니다. 현재 우리의 승자가 개척 한 방어 발명품을 다루지 않는 공격자는 진지하게 받아 들여질 수 없습니다.

안전한 상자를 원한다면 grsecurity + pax를 받으십시오. GRsec은 시스템, 많은 파일 시스템 (chroot) 기반 보호에 대한 RBAC 제어를 제공하며, PaX는 해커가 사용할 수있는 대부분의 공격 경로를 닫습니다. paxtest로 상자를 테스트하여 상자에 어떤 종류의 보호 및 취약성이 있는지 확인할 수 있습니다.

성능에 영향을 줄 수 있습니다. 도움말을 읽으십시오 :).