리눅스 박스를 강화하기 위해 무엇을 사용해야합니까? 의류, SELinux, grsecurity, SMACK, chroot?


20

데스크톱 시스템으로 Linux로 돌아갈 계획입니다. 더 안전하게 만들고 싶습니다. 특히 자체 서버를 확보 할 계획이므로 몇 가지 강화 기술을 시도하십시오.

  • 제정신 강화 전략은 무엇입니까? Apparmor, SELinux, SMACK, chroot 중 어떤 도구를 사용해야합니까?
  • 예를 들어 의류, 또는 위의 조합 중 하나의 도구 만 사용해야합니까?
  • 이 도구에는 어떤 장단점이 있습니까? 다른 사람이 있습니까?
  • 안전한 구성 대 보안 (개선) 비율은 어느 것입니까?
  • 데스크탑 환경에서 어느 것을 사용 하시겠습니까? 서버 환경에서 어느 것.

너무 많은 질문들.


7
경고 : 원하는 모든 것을 시험해보십시오. 그러나 철저하게 이해하지 못하면 프로덕션 시스템에서 보안 시스템을 켜지 마십시오. 많은 실제 익스플로잇은 핵심 시스템 결함보다는 잘못된 구성에 대한 것입니다. 보안을 통해 더 많은 기능이 더 나은 것은 아닙니다.
Gilles 'SO- 악마 그만

2
마술처럼 컴퓨터를 깨지지 않는 기계로 바꿀 수있는 단일 보안 도구는 없습니다 (어쨌든 불가능합니다). 이를 위해 열심히 노력하고 실험하고 다양한 도구의 설정을 결합해야합니다. 이는 데스크탑과 서버 시스템 모두에 해당됩니다. 또한 Gilles의 조언을 따르십시오. 다중 사용자 컴퓨터에 보안 관행을 적용하는 데있어 어려운 부분은 합법적 인 사용자에게 어떠한 영향도 미치지 않아야한다는 것입니다.
sakisk

답변:


9

AppArmour는 일반적으로 SELinux보다 단순하다고 생각됩니다. SELinux는 상당히 복잡하며 군사용 애플리케이션에서도 사용될 수 있지만 AppArmour는 더 단순합니다. SELinux는 i- 노드 레벨에서 작동합니다 (즉, 제한 사항은 ACL 또는 UNIX 권한과 같은 방식으로 적용됨). 반면 AppArmour는 경로 레벨에서 적용됩니다 (즉, 경로를 기반으로 액세스를 지정하여 경로 변경시 적용되지 않을 수 있음) ). AppArmour는 mod_php와 같은 하위 프로세스도 보호 할 수 있지만 실제 사용에 대해서는 회의적입니다. AppArmour는 메인 라인 커널 (-mm IIRC에 있음)을 찾는 것 같습니다.

SMACK에 대해서는 잘 모르지만 설명에서 단순화 된 SELinux처럼 보입니다. 당신이 그것을보고 싶다면 RSBAC도 있습니다.

chroot는 사용 범위가 제한되어 있으며 데스크탑 환경에서 많이 사용되지 않을 것이라고 생각합니다 (DNS 데몬과 같은 전체 시스템의 액세스에서 데몬을 분리하는 데 사용할 수 있음).

확실히 PaX, -fstack-protector 등과 같은 '일반적인'강화를 적용하는 것이 좋습니다. 배포판이 AppArmour / SELinux를 지원할 때 사용할 수있는 Chroot. SELinux는 보안 수준이 높은 영역 (시스템에 대한 제어 기능이 훨씬 우수함)에 더 적합하고 AppArmour가 간단한 강화에 더 적합하다고 생각합니다.

일반적으로 보안이 철저한 지역에서 작업하지 않는 한 사용하지 않는 서비스를 끄거나 정기적으로 업데이트하는 등을 제외하고는 일반 데스크톱을 크게 강화하지 않아도됩니다. 어쨌든 보안을 유지하려면 배포판이 지원하는 것을 사용합니다. 그들 중 많은 사람들이 효과적이려면 응용 프로그램 지원 (속성, 서면 규칙을 지원하는 컴파일 도구의 경우)이 필요하므로 배포판이 지원하는 것을 사용하는 것이 좋습니다.


4

GRSecurity + PAX를 사용하십시오. 그 밖의 모든 것들은 단지 마케팅 불일치 및 / 또는 PAX 팀의 작업을 기반으로합니다. PAX의 주요 개발자 혼 초인 pipacs는 Black Hat 2011 / PWNIE에서 평생 공로상을 받았습니다.

그의 기술 작업은 보안에 큰 영향을 미쳤습니다. 그의 아이디어는 최근 몇 년 동안 모든 주요 운영 체제의 보안 개선에 필수적이며, 그의 아이디어는 가장 현대적인 메모리 손상 공격 기술을 간접적으로 형성했습니다. 현재 우리의 승자가 개척 한 방어 발명품을 다루지 않는 공격자는 진지하게 받아 들여질 수 없습니다.

안전한 상자를 원한다면 grsecurity + pax를 받으십시오. GRsec은 시스템, 많은 파일 시스템 (chroot) 기반 보호에 대한 RBAC 제어를 제공하며, PaX는 해커가 사용할 수있는 대부분의 공격 경로를 닫습니다. paxtest로 상자를 테스트하여 상자에 어떤 종류의 보호 및 취약성이 있는지 확인할 수 있습니다.

성능에 영향을 줄 수 있습니다. 도움말을 읽으십시오 :).

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.