Вопрос: SELinux против AppArmor против grsecurity [закрыто]


Я должен настроить сервер, который должен быть как можно более безопасным. Какое повышение безопасности вы бы использовали и почему, SELinux, AppArmor или grsecurity? Можете ли вы дать мне несколько советов, советов, плюсов и минусов для этих трех?

НАСКОЛЬКО МНЕ ИЗВЕСТНО:

  • SELinux: самый мощный, но самый сложный
  • AppArmor: упрощенная конфигурация / управление, чем SELinux
  • grsecurity: простая настройка из-за автоматической подготовки, больше возможностей, чем просто управление доступом

14
2018-05-18 11:45


Источник


«Сервер» для предоставления какого рода услуг? Какую аудиторию, в какой среде? Что означает «безопасный» для вас в этом контексте? Для получения полезного ответа потребуется больше информации. Например, чистый IP-сервер времени может быть очень безопасным - все прошивки ROM, радиоприемник, автономное питание от батареи с автоматической зарядкой. Но это, вероятно, не очень полезный ответ для вас. Итак, какой сервис? Широкая, широкая, надежная рабочая группа, выделенная точка-точка и т. Д.? Требуется ли высокая доступность? Надежность? Целостность данных? Контроль доступа? Дайте - mpez0


Ответы:


Я провел много исследований в этой области. Я даже использовал Набор правил AppArmor для MySQL, AppArmor - самая слабая форма разделения процессов. Свойство, которое я использую, заключается в том, что все процессы имеют права записи для некоторых из тех же каталогов, таких как /tmp/, Что приятно в AppArmor, так это то, что он разбивает некоторые эксплойты, не входя в путь пользователя / администратора. Однако AppArmor имеет некоторые фундаментальные недостатки, которые не будут исправлены в ближайшее время.

SELinux очень безопасен, его также очень раздражает. В отличие от AppAmoror большинство законных приложений не будут работать до тех пор, пока SELinux не будет перенастроен. Чаще всего это приводит к неправильной конфигурации администратора SELinux или отключению всего этого.

grsecurity - очень большой пакет инструментов. Тот, который мне больше всего нравится, - это усиленный chroot от grsecuirty. Это еще более безопасно, чем SELinux, хотя для настройки chroot-тюрьмы требуется некоторое мастерство и некоторое время, когда SELinux и AppAprmor «просто работают».

Существует 4-я система, виртуальная машина. Уязвимости обнаружены в средах VM, которые могут позволить злоумышленнику «вырваться». Однако VM имеет еще большее разделение, чем chroot, потому что в VM вы используете меньше ресурсов между процессами. Ресурсы, доступные виртуальной машине, являются виртуальными, и могу иметь мало или вообще не перекрывается между другими виртуальными машинами. Это также относится к <buzzword> "облачные вычисления" </buzzword>, В облачной среде у вас может быть очень четкое разделение между вашей базой данных и веб-приложением, что важно для безопасности. Возможно, возможно, что 1 эксплойт может владеть всем облаком и всеми виртуальными машинами на нем.


7
2018-05-19 08:53



вместо <buzzword> тег, вы можете просто написать «мой прикладом», каждый будет знать, что вы имеете в виду;) - Daniel Dinnyes
В VM вы имеете в виду Xen, KVM или LXC / Docker? Также, пожалуйста, обратитесь к вашим оценкам. - Daniel Dinnyes
@ Daniel Dinnyes здесь нет ссылок, это все личное мнение как хакер, который атакует современные приложения, которые защищены этими методами смягчения - большой отрыв заключается в том, что ничего не идеального. - Rook
@ Daniel Dinnyes Если вас интересуют случаи неправильного использования, начните с предполагаемых случаев использования. Установите дистрибутивы, которые используют эти технологии, и развертывайте приложения на них. Читайте о развертывании и настройке этих систем безопасности, а затем ищите недостатки. - Rook
@ Daniel Dinnyes рассматривает выпущенные CVE и особенно любые публичные атаки на каждую платформу. Недавно был очень хороший обход SELinux: exploit-db.com/exploits/40419 - Rook


Лично я бы использовал SELinux, потому что я бы в конечном итоге нацелился на какой-то вкус RHEL, который по большей части настроен из коробки. Существует также отзывчивый набор сопровождающих в Red Hat и очень хорошая документация о настройке SELinux. Полезные ссылки ниже.


1
2018-05-18 12:49



да, но yum и selinux так чертовски раздражают. - Rook
Я считаю, что CLI yum более интуитивно понятен, чем apt. SELinux раздражает, когда вы пытаетесь пойти своим путем с приложениями, отличными от запасов, но у меня никогда не было проблем с запасами, за исключением необходимости включить некоторые функции sebool, чтобы включить функции, отличные от параметров по умолчанию (например, разрешить HTTP-скрипты httpd в базу данных) - Ophidian