나는 데스크탑 컴퓨터로 Linux를 다시 사용할 계획입니다. 나는 그것을 더 안전하게 만들고 싶다. 그리고 특히 나만의 서버를 가질 계획이므로 몇 가지 강화 기술을 시도해 보세요.
- 좋고 합리적인 강화 전략이란 무엇인가? Apparmor, SELinux, SMACK, chroot 등 어떤 도구를 사용해야 합니까?
- Apparmor와 같은 하나의 도구만 사용해야 합니까, 아니면 위의 도구들을 조합하여 사용해야 합니까?
- 이러한 도구의 장점/단점은 무엇입니까? 다른 사람이 있나요?
- 합리적인 구성 대 보안(개선) 비율을 갖춘 것은 무엇입니까?
- 데스크탑 환경에서는 어느 것을 사용하고 싶나요? 어느 것이 서버 환경에 있습니까?
질문이 너무 많아요.
답변1
AppArmour는 일반적으로 SELinux보다 간단한 것으로 간주됩니다. SELinux는 매우 정교하고 군사 애플리케이션에도 사용할 수 있는 반면 AppArmour는 더 간단한 경향이 있습니다. SELinux는 i-노드 수준에서 작동하는 반면(즉, 제한 사항은 ACL 또는 UNIX 권한과 동일한 방식으로 적용됨), AppArmour는 경로 수준에서 적용됩니다(즉, 경로를 기반으로 액세스를 지정하므로 경로가 변경되면 적용되지 않을 수 있습니다)). AppArmour는 하위 프로세스(mod_php만 해당)를 보호할 수도 있지만 실제 사용에 대해서는 회의적입니다. AppArmour는 메인라인 커널(-mm IIRC에 있음)에 진출한 것 같습니다.
나는 SMACK에 대해 잘 모르지만 설명을 보면 단순화된 SELinux처럼 보입니다. 확인하고 싶다면 RSBAC도 있습니다.
chroot의 사용은 제한되어 있으며 데스크탑 환경에서는 그다지 유용하지 않을 것이라고 생각합니다(예를 들어 DNS 데몬과 같이 전체 시스템에 대한 액세스로부터 데몬을 분리하는 데 사용할 수 있습니다).
물론 PaX, -fstack-protector 등과 같은 "일반적인" 강화를 적용할 가치가 있습니다. 배포판이 AppArmour/SELinux를 지원하는 경우 Chroot를 사용할 수 있습니다. SELinux는 보안 수준이 높은 영역(시스템에 대한 제어 능력이 더 좋음)에 더 적합하고 AppArmour는 간단한 강화에 더 적합하다고 생각합니다.
일반적으로 보안 수준이 높은 영역에서 작업하는 경우를 제외하고는 사용하지 않는 서비스, 정기 업데이트 등을 끄는 것 외에는 일반 데스크탑을 강화하지 않습니다. 어쨌든 안전하고 싶다면 배포판이 지원하는 것을 사용하겠습니다. 이들 중 다수는 효과적인 애플리케이션 지원(예: 속성을 지원하는 컴파일 도구, 작성된 규칙)이 필요하므로 배포판에서 지원하는 것을 사용하는 것이 좋습니다.
답변2
GRSecurity + PAX를 사용하세요. 다른 모든 것은 단지 헛소리 마케팅일 뿐이거나 주로 PAX 팀의 작업에 기반을 두고 있습니다. PAX의 주요 개발사인 pipacs는 Black Hat 2011/PWNIE에서 평생 공로상을 수상했습니다.
그의 기술 작업은 보안에 큰 영향을 미쳤습니다. 그의 아이디어는 최근 몇 년간 모든 주요 운영 체제의 보안 개선의 기초가 되었으며, 그의 아이디어는 대부분의 최신 메모리 손상 공격 기술을 간접적으로 형성했습니다. 오늘날 승자들이 개척한 방어 기술을 활용하지 않고는 어떤 공격자도 진지하게 받아들일 수 없습니다.
따라서 보안 상자를 정말로 원한다면 grsecurity+pax를 사용하십시오. GRsec은 컴퓨터에 대한 RBAC 제어, 광범위한 파일 시스템(chroot) 기반 보호를 제공하고 PaX는 해커가 사용할 수 있는 대부분의 공격 벡터를 차단합니다. 또한 paxtest를 사용하여 상자를 테스트하여 상자에 어떤 종류의 보호 기능과 취약점이 있는지 확인할 수도 있습니다.
성능에 영향이 있을 수 있습니다. 도움말을 읽어보세요 :).