SELinux बनाम AppArmor बनाम grsecurity [बंद]

बंद हो गया । इस प्रश्न पर अधिक ध्यान देने की आवश्यकता है । यह वर्तमान में उत्तर स्वीकार नहीं कर रहा है।

इस प्रश्न को सुधारना चाहते हैं? प्रश्न को अपडेट करें ताकि यह इस पोस्ट को संपादित करके केवल एक समस्या पर केंद्रित हो ।

2 साल पहले बंद हुआ ।

मुझे एक सर्वर स्थापित करना होगा जो यथासंभव सुरक्षित होना चाहिए। आप कौन सी सुरक्षा वृद्धि का उपयोग करेंगे और क्यों, SELinux, AppArmor या grsecurity? क्या आप मुझे उन तीनों के लिए कुछ सुझाव, संकेत, पेशेवरों / विपक्ष दे सकते हैं?

AFAIK:

SELinux: सबसे शक्तिशाली लेकिन सबसे जटिल
AppArmor: SELinux की तुलना में सरल कॉन्फ़िगरेशन / प्रबंधन
ग्रामसुरक्षा: ऑटो प्रशिक्षण के कारण सरल विन्यास, सिर्फ अभिगम नियंत्रण की तुलना में अधिक विशेषताएं

linux security hardening

एक "सर्वर" किस तरह की सेवा प्रदान करने के लिए? क्या दर्शकों को, किस माहौल में? इस संदर्भ में आपके लिए "सुरक्षित" क्या है? उपयोगी उत्तर प्रदान करने के लिए बहुत अधिक जानकारी आवश्यक होगी। उदाहरण के लिए, एक शुद्ध आईपी टाइम-ऑफ-डे सर्वर बहुत सुरक्षित हो सकता है - सभी रॉम फ़र्मवेयर, रेडियो इंप्यूट, सेल्फ बैटरी की शक्ति जिसमें स्वचालित चार्जिंग होती है। लेकिन यह शायद आपके लिए एक उपयोगी उत्तर नहीं है। तो, किस तरह की सेवा? इंटरनेट वाइड, एंटरप्राइज वाइड, विश्वसनीय वर्क टीम, पॉइंट-टू-पॉइंट नेटवर्किंग, आदि? क्या उच्च उपलब्धता की आवश्यकता है? विश्वसनीयता? डेटा अखंडता? पहुँच नियंत्रण? दे

— mpez0

जवाबों:

मैंने इस क्षेत्र में काफी शोध किया है। मैंने MySQL के लिए AppArmor के नियमों का भी शोषण किया है । AppArmor पृथक्करण प्रक्रियाओं का सबसे कमजोर रूप है। मैं जिस संपत्ति का शोषण कर रहा हूं वह यह है कि सभी प्रक्रियाओं ने कुछ निर्देशिकाओं जैसे विशेषाधिकारों को लिखा है /tmp/। AppArmor के बारे में क्या अच्छा है कि यह उपयोगकर्ता / प्रशासकों के रास्ते में आए बिना कुछ कारनामों को तोड़ देता है। हालाँकि AppArmor की कुछ मूलभूत खामियाँ हैं जो जल्द ही किसी भी समय तय नहीं होने वाली हैं।

SELinux बहुत ही सुरक्षित है, यह भी बहुत कष्टप्रद है। AppAmoror के विपरीत अधिकांश वैध एप्लिकेशन तब तक नहीं चलेंगे, जब तक SELinux को फिर से कॉन्फ़िगर नहीं किया गया है। ज्यादातर अक्सर यह व्यवस्थापक गलत चयन SELinux में परिणाम देता है या इसे एक साथ अक्षम करता है।

grsecurity उपकरण का एक बहुत बड़ा पैकेज है। सबसे ज्यादा पसंद किया जाने वाला चेसुचोटे का बढ़ाया हुआ चुरोट। यह तब और भी सुरक्षित होता है, तब SELinux, हालांकि इसमें कुछ कौशल और कुछ समय चुरोट जेल की स्थापना में लगता है, जहां SELinux और AppAprmor "बस काम" के रूप में होता है।

एक 4th सिस्टम है, एक वर्चुअल मशीन। वीएम वातावरण में कमजोरियां पाई गई हैं जो एक हमलावर को "बाहर तोड़ने" की अनुमति दे सकती हैं। हालाँकि, VM के VM में chroot becuase की तुलना में कहीं अधिक पृथक्करण है, जिसे आप प्रक्रियाओं के बीच कम संसाधन साझा कर रहे हैं। एक VM के लिए उपलब्ध संसाधन आभासी हैं, और अन्य VMs के बीच बहुत कम या कोई ओवरलैप नहीं हो सकता है । यह <buzzword>" क्लाउड कंप्यूटिंग " से भी संबंधित है </buzzword>। एक क्लाउड वातावरण में आप अपने डेटाबेस और वेब एप्लिकेशन के बीच एक बहुत ही साफ अलगाव रख सकते हैं, जो सुरक्षा के लिए महत्वपूर्ण है। यह भी संभव है कि 1 शोषण पूरे बादल और उस पर सभी वीएम चल रहा हो।

— कौआ
स्रोत

<buzzword>टैग के बजाय आप बस "माई बट" लिख सकते हैं, हर कोई जानता होगा कि आपका क्या मतलब है?)

— डैनियल डिनिएज़

VM से क्या आपका मतलब है कि Xen, KVM या LXC / Docker? इसके अलावा, कृपया अपने मूल्यांकन का संदर्भ लें।

— डेनियल डेनीज़

@ डैनियल डैनीज़ यहाँ कोई संदर्भ नहीं हैं, यह एक हैकर के रूप में सभी व्यक्तिगत राय है जो आधुनिक अनुप्रयोगों पर हमला करता है जो इन शमन तकनीकों के साथ सुरक्षित हैं - बड़ा ले जाता है कि कुछ भी सही नहीं है।

— रूक

@ डेनियल डेंस यदि आप दुरुपयोग-मामलों में रुचि रखते हैं, तो इच्छित उपयोग के मामलों से शुरू करें। इन तकनीकों का उपयोग करने वाले डिस्ट्रोस को स्थापित करें, और उन पर एप्लिकेशन को तैनात करें। इन सुरक्षा प्रणालियों को तैनात करने और कॉन्फ़िगर करने के बारे में पढ़ें, और फिर कमजोरियों की तलाश करें।

— रूक

@ डैनियल डनीज़ जारी किए गए सीवीई और विशेष रूप से प्रत्येक प्लेटफ़ॉर्म के लिए किसी भी सार्वजनिक कारनामे को देखते हैं। हाल ही में मिला एक बहुत अच्छा SELinux बाईपास था: शोषक- db.com/exploits/40419

— Rook

व्यक्तिगत रूप से, मैं SELinux का उपयोग करूंगा क्योंकि मैं RHEL के कुछ स्वाद को लक्षित करना चाहूंगा, जिसने इसे अधिकांश भाग के लिए बॉक्स से बाहर सेट किया है। Red Hat में अनुरक्षकों का एक उत्तरदायी सेट है और SELinux को कॉन्फ़िगर करने के बारे में बहुत अच्छे दस्तावेज हैं। नीचे उपयोगी लिंक

— साँप
स्रोत

हाँ, लेकिन यम और सेलिनक्स बहुत परेशान हैं।

— रूक

मुझे लगता है कि यम का सीएलआई एप्ट की तुलना में काफी अधिक सहज है। जब आप गैर-स्टॉक एप्लिकेशन के साथ अपना रास्ता तय करने की कोशिश कर रहे हैं, तो SELinux कष्टप्रद है, लेकिन मैंने कभी भी सीबूल को चालू करने की आवश्यकता से परे स्टॉक सामग्री के साथ कोई समस्या नहीं की है, गैर-डिफ़ॉल्ट कार्यक्षमता को सक्षम करने के लिए (जैसे कि httpd php स्क्रिप्ट कनेक्ट करें डेटाबेस के लिए)

— ओफिडियन