it-swarm-ko.tech

Linux 상자를 강화하기 위해 무엇을 사용해야합니까? Apparmor, SELinux, grsecurity, SMACK, chroot?

저는 데스크탑 컴퓨터로 Linux로 돌아갈 계획입니다. 더 안전하게 만들고 싶습니다. 특히 자체 서버를 확보 할 계획이므로 몇 가지 강화 기술을 시도해보십시오.

  • 좋은 건전한 강화 전략은 무엇입니까? Apparmor, SELinux, SMACK, chroot 중 어떤 도구를 사용해야합니까?
  • 하나의 도구 만 사용해야합니까? 의류 또는 위의 조합?
  • 이러한 도구에는 어떤 장점/단점이 있습니까? 다른 사람이 있습니까?
  • 올바른 구성 대 보안 (개선) 비율은 무엇입니까?
  • 데스크탑 환경에서 어느 것을 사용하고 싶습니까? 서버 환경에서 어느 것.

너무 많은 질문.

20
jottr

AppArmour는 일반적으로 SELinux보다 간단하다고 생각됩니다. SELinux는 매우 복잡하며 군사용 애플리케이션에서도 사용될 수 있지만 AppArmour는 더 간단한 경향이 있습니다. SELinux는 i-node 수준에서 작동합니다 (즉, 제한은 ACL 또는 UNIX 권한과 동일한 방식으로 적용됨-반면에) AppArmour는 경로 수준에서 적용됩니다 (예 : 경로를 기반으로 액세스를 지정하므로 경로 변경시 적용되지 않을 수 있음). ). AppArmour는 하위 프로세스 (mod_php 만 해당)도 보호 할 수 있지만 실제 사용에 대해 회의적입니다. AppArmour는 메인 라인 커널 (-mm IIRC에 있음)로가는 길을 찾는 것 같습니다.

나는 SMACK에 대해 많이 모르지만 설명에서 단순화 된 SELinux처럼 보입니다. 당신이 그것을보고 싶다면 RSBAC도 있습니다.

chroot는 사용 범위가 제한되어 있으며 데스크톱 환경에서 많이 사용되지 않을 것이라고 생각합니다 (DNS 데몬과 같은 전체 시스템 액세스에서 데몬을 분리하는 데 사용할 수 있음).

확실히 PaX, -fstack-protector 등과 같은 '일반적인'강화를 적용 할 가치가 있습니다. 배포판이 AppArmour/SELinux를 지원할 때 사용할 수있는 Chroot. SELinux는 높은 보안 영역에 더 적합하고 (시스템을 훨씬 더 잘 제어 할 수 있음) AppArmour는 간단한 강화에 더 적합합니다.

일반적으로 보안 수준이 높은 영역에서 작업하지 않는 한 사용하지 않는 서비스를 끄고 정기적으로 업데이트하는 것을 제외하고는 일반 데스크톱을별로 강화하지 않습니다. 어쨌든 보안을 유지하려면 배포판이 지원하는 것을 사용합니다. 그들 중 대부분은 응용 프로그램 지원 (예 : 속성, 서면 규칙을 지원하는 컴파일 도구)이 필요하므로 배포판이 지원하는 것을 사용하는 것이 좋습니다.

9
Maciej Piechotka

GRSecurity + PAX를 사용하십시오. 그 밖의 모든 것은 마케팅에 불과하거나 대부분 PAX 팀의 작업을 기반으로합니다. PAX의 주요 개발자 인 pipacs는 Black Hat 2011/PWNIE에서 평생 공로상을 수상했습니다.

그의 기술적 인 작업은 보안에 엄청난 영향을 미쳤습니다. 그의 아이디어는 최근 몇 년 동안 모든 주요 운영 체제의 보안 향상에 기본이되었으며 그의 아이디어는 대부분의 현대 메모리 손상 공격 기술을 간접적으로 형성했습니다. 승자가 개척 한 방어 발명품을 다루지 않는 공격자는 오늘날 심각하게 받아 들여질 수 없습니다.

따라서 보안 상자를 정말로 원한다면 grsecurity + pax를 받으십시오. GRsec은 시스템에 대한 RBAC 제어, 많은 파일 시스템 (chroot) 기반 보호를 제공하며 PaX는 해커가 사용하는 대부분의 가능한 공격 벡터를 차단합니다. paxtest를 사용하여 상자를 테스트하여 상자에 어떤 종류의 보호 및 취약성이 있는지 확인할 수도 있습니다.

성능에 영향을 미칠 수 있습니다. 도움말을 읽으십시오 :).

3
Jauzsika