लिनक्स बॉक्स को सख्त करने के लिए क्या उपयोग करें? अपरमोर, सिलेन्क्स, ग्रामसुरिटी, स्मैक, चेरोट?

मैं एक डेस्कटॉप मशीन के रूप में लिनक्स पर वापस जाने की योजना बना रहा हूं। मैं इसे और सुरक्षित बनाना चाहूंगा। और कुछ सख्त तकनीकों का प्रयास करें, खासकर जब से मैं अपना खुद का सर्वर प्राप्त करने की योजना बना रहा हूं।

• एक अच्छी, समझदारी से भरी रणनीति क्या होगी? मुझे कौन से टूल का उपयोग करना चाहिए - अपर्मोर, सेलेनक्स, स्मैक, चेरोट?
• क्या मुझे केवल एक उपकरण, उदाहरण के लिए Apparmor, या उपरोक्त का एक संयोजन का उपयोग करना चाहिए?
• इन उपकरणों के क्या फायदे / नुकसान हैं? क्या कोई और हैं?
• सिक्योरिटी (सुधार) अनुपात के लिए किसके पास एक विन्यास है?
• मैं एक डेस्कटॉप वातावरण में किसका उपयोग करूंगा? जो एक सर्वर वातावरण में है।

कितने सारे सवाल।

आमतौर पर AppArmour को SELinux की तुलना में सरल माना जाता है। SELinux काफी जटिल है और सैन्य अनुप्रयोगों में भी इस्तेमाल किया जा सकता है जबकि AppArmour सरल हो जाता है। SELinux i-नोड स्तर पर संचालित होता है (अर्थात प्रतिबंध ACL या UNIX अनुमतियों के रूप में - दूसरी ओर लागू होता है) जबकि AppArmour पथ स्तर पर लागू होता है (यानी आप पथ के आधार पर पहुंच निर्दिष्ट करते हैं, जब पथ परिवर्तन लागू नहीं हो सकते हैं) )। AppArmour उपप्रकारों (जैसे mod_php) की भी रक्षा कर सकता है, लेकिन मैं इसके वास्तविक उपयोग के बारे में किसी भी तरह से उलझन में हूं। AppArmour मेनलाइन कर्नेल में अपना रास्ता खोजने लगता है (यह -M IIRC है)।

मुझे SMACK के बारे में ज्यादा जानकारी नहीं है लेकिन यह विवरण से सरलीकृत SELinux की तरह लगता है। यदि आप इसे देखना चाहते हैं तो RSBAC भी है।

चेरोट के उपयोग की एक सीमित गुंजाइश है और मुझे नहीं लगता कि यह डेस्कटॉप वातावरण में बहुत अधिक उपयोग होगा (इसका उपयोग डेमॉन को पूरे सिस्टम की पहुंच से अलग करने के लिए किया जा सकता है - जैसे डीएनएस डेमॉन)।

निश्चित रूप से, यह 'जेनेरिक' सख्त करने के लिए लायक है जैसे कि पीएएक्स, -फस्टैक-प्रोटेक्टर आदि। चुरोट आप तब उपयोग कर सकते हैं जब आपका डिस्ट्रो समर्थन करता है AppArmour / SELinux। मुझे लगता है कि SELinux उच्च सुरक्षा क्षेत्रों के लिए बेहतर अनुकूल है (इसका सिस्टम पर बहुत बेहतर नियंत्रण है) और AppArmour सख्त बनाने के लिए बेहतर है।

सामान्य तौर पर, जब तक आप अत्यधिक सुरक्षित क्षेत्र में काम नहीं करते, अप्रयुक्त सेवाओं को बंद करने, नियमित रूप से अपडेट करने आदि को छोड़कर, मैं सामान्य डेस्कटॉप को बहुत परेशान नहीं करूंगा। यदि आप किसी भी तरह से सुरक्षित करना चाहते हैं, तो मैं उपयोग करूंगा कि आपका डिस्ट्रो समर्थन कर रहा है। उनमें से कई प्रभावी होने के लिए आवेदन समर्थन की आवश्यकता होती है (समर्थन विशेषताओं, लिखित नियमों के लिए पूर्व संकलन उपकरण के लिए), इसलिए मैं सलाह दूंगा कि आपका डिस्ट्रो समर्थन कर रहा है।

GRSecurity + PAX का उपयोग करें। बाकी सब कुछ बस बकवास * t और / या ज्यादातर PAX टीम के काम पर आधारित है। PAX के मुख्य डेवलपर के सम्मान, पिप्प्स ने ब्लैक हैट 2011 / PWNIE में जीवन भर की उपलब्धि का पुरस्कार जीता:

उनके तकनीकी कार्यों का सुरक्षा पर बहुत अधिक प्रभाव पड़ा है: उनके विचार हाल के वर्षों में सभी प्रमुख ऑपरेटिंग सिस्टमों में सुरक्षा सुधारों के लिए मौलिक हैं, और उनके विचारों ने अप्रत्यक्ष रूप से सबसे आधुनिक स्मृति-भ्रष्टाचार हमला तकनीकों को आकार दिया है। आजकल किसी भी हमलावर को गंभीरता से नहीं लिया जा सकता है जो हमारे विजेता द्वारा अग्रणी रक्षात्मक आविष्कारों से निपटता नहीं है।

यदि आप वास्तव में एक सुरक्षित बॉक्स चाहते हैं, तो ग्रामसिटी + पैक्स प्राप्त करें। जीआरएसईसी आपको अपनी मशीन पर आरबीएसी नियंत्रण देता है, बहुत सारे फाइलसिस्टम (चेरोट) आधारित सुरक्षा, पीएएक्स अधिकांश संभावित हमले वैक्टर हैकर्स का उपयोग बंद कर देता है। आप अपने बॉक्स को paxtest के साथ भी देख सकते हैं, यह देखने के लिए कि आपके बॉक्स में किस प्रकार के सुरक्षा और असुरक्षित हैं।

प्रदर्शन प्रभाव हो सकता है। सहायता पढ़ें :)।