Cosa usare per indurire la scatola di Linux? Apparmor, SELinux, grsecurity, SMACK, chroot?

Sto programmando di tornare a Linux come macchina desktop. Vorrei renderlo più sicuro. E prova alcune tecniche di indurimento, soprattutto dal momento che ho intenzione di ottenere il mio server.

• Quale sarebbe una buona e sana strategia di indurimento? Quali strumenti dovrei usare - Apparmor, SELinux, SMACK, chroot?
• Dovrei usare solo uno strumento, ad esempio Apparmor, o una combinazione di quanto sopra?
• Quali vantaggi / svantaggi hanno questi strumenti? Ce ne sono altri?
• Quali hanno un rapporto di configurazione sana rispetto alla sicurezza (miglioramento)?
• Quale preferirei utilizzare in un ambiente desktop? Quale in un ambiente server.

Così tante domande.

AppArmour di solito è pensato per essere più semplice di SELinux. SELinux è piuttosto complesso e può essere usato anche in applicazioni militari mentre AppArmour tende ad essere più semplice. SELinux funziona a livello di i-node (ovvero le restrizioni vengono applicate allo stesso modo delle autorizzazioni ACL o UNIX - d'altra parte) mentre AppArmour si applica a livello di percorso (ovvero si specifica l'accesso in base al percorso, quindi quando cambia il percorso potrebbe non essere applicabile ). AppArmour può anche proteggere sottoprocessi (come solo mod_php) ma sono in qualche modo scettico sul suo reale utilizzo. AppArmour sembra trovare la sua strada nel kernel mainline (è in -mm IIRC).

Non so molto su SMACK ma sembra SELinux semplificato dalla descrizione. C'è anche RSBAC se vuoi guardarlo.

chroot ha un ambito di utilizzo limitato e non credo che sarebbe molto utile in un ambiente desktop (può essere usato per separare i demoni dall'accesso dell'intero sistema, come il demone DNS).

Sicuramente vale la pena applicare un indurimento "generico" come PaX, -fstack-protector ecc. Chroot che puoi usare quando la tua distro lo supporta così fa AppArmour / SELinux. Immagino che SELinux sia più adatto per aree ad alta sicurezza (ha un controllo molto migliore sul sistema) e AppArmour è migliore per il semplice rafforzamento.

In generale, non mi preoccuperei di indurire molto il desktop generico, ad eccezione di disattivare i servizi inutilizzati, aggiornare regolarmente, ecc. A meno che non lavori in un'area altamente protetta. Se vuoi assicurarti comunque, userò ciò che la tua distribuzione supporta. Molti di loro per essere efficaci hanno bisogno del supporto dell'applicazione (per ex strumenti di compilazione per supportare attributi, regole scritte), quindi consiglierei di usare ciò che la tua distribuzione supporta.

Usa GRSecurity + PAX. Tutto il resto è solo marketing * e / o principalmente basato sul lavoro del team PAX. Il principale sviluppatore honcho di PAX, pipacs ha appena vinto un premio alla carriera a Black Hat 2011 / PWNIE:

Il suo lavoro tecnico ha avuto un impatto enorme sulla sicurezza: le sue idee sono fondamentali per il miglioramento della sicurezza in tutti i principali sistemi operativi negli ultimi anni e le sue idee hanno modellato indirettamente la maggior parte delle moderne tecniche di attacco alla corruzione della memoria. Nessun attaccante può essere preso sul serio al giorno d'oggi che non si occupa delle invenzioni difensive introdotte dal nostro vincitore.

Quindi prendi grsecurity + pax se vuoi davvero una scatola sicura. GRsec ti dà il controllo RBAC sulla tua macchina, molte protezioni basate su filesystem (chroot), PaX chiude la maggior parte dei possibili vettori di attacco che gli hacker usano. Puoi anche testare la tua scatola con il paxtest, per vedere che tipo di protezioni e vulnerabilità ha la tua scatola.

Potrebbero esserci impatti sulle prestazioni. Leggi l'aiuto :).