¿Alternativas a SELinux y AppArmor? [cerrado]

5

Con SELinux desarrollado por NSA y AppArmor por Novell [*], existen soluciones alternativas cuando se intenta bloquear un sistema y ejecutar aplicaciones, basadas en ACL y conceptos similares como Zones en Solaris.

con aplicaciones me refiero a: servicios que están disponibles y accesibles al público a través de la red, a saber, todo tipo de servidores web / de aplicaciones, pero también servidores de base de datos.

chroot no es una opción, porque su PITA se debe configurar y mantener a largo plazo (experiencias).

Lo que quiero lograr: limitar el acceso de los servicios basados en red a sus archivos de configuración y datos solamente (docroot para servidores web, dbs para db-server, etc.); Las conexiones salientes se gestionan a través de firewall y servidores de servicio. Si algún atacante puede acceder al sistema, estará limitado a lo que se ve y lo que se debe hacer, por ejemplo. No ejecute programas, no lea otros archivos.

[*] debido a las órdenes de mordaza y demás, ya no hay confianza.

    
pregunta that guy from over there 18.09.2013 - 09:30
fuente

6 respuestas

3

Grsecurity podría ser una alternativa a selinux y apparmor en una máquina Linux. Se ofrece una comparación de las tres herramientas en aquí.

    
respondido por el Jor-el 27.09.2013 - 20:06
fuente
1

También hay tomoyo , que proporciona los medios para implementar el control de acceso obligatorio. Sin embargo, tendrá que confiar en NTT DATA Corporation para que no sea malvado.

También, podría decirse que chroot ni siquiera podría considerarse como seguridad feature .

    
respondido por el dawud 21.02.2014 - 19:30
fuente
1

Recomiendo altamente RSBAC , ya que básicamente es SELinux sin la NSA.
Por lo tanto, es probable que haya la mejor opción.

Varias distribuciones lo admiten fuera de la caja: enlace
En cualquier otro caso, parchéelo usted mismo, utilizando el repositorio git: enlace
(Los núcleos pre-parcheados están demasiado desactualizados para ser seguros).

Mi respuesta anterior fue incorrecta y, de hecho, está viva, como muestra:
enlace

(Por supuesto, a menos que marque personalmente la fuente, o confíe en alguien que lo hizo, ... y lo ejecute en un sistema sin puertas traseras de hardware ... de todas formas es irrelevante).

    
respondido por el Evi1M4chine 07.02.2018 - 17:25
fuente
0

Si su problema con chroot era la dificultad de configurarlo y la falta de herramientas estandarizadas a su alrededor, es posible que Docker se adapte bien. Con Docker, el valor predeterminado es que los contenedores (y por lo tanto cualquier cosa que explote una aplicación en el contenedor) no tengan acceso a su sistema de archivos. Debe habilitarse para darles acceso a lo que desea, lo que facilita verificar que les está dando tan poco acceso como necesitan, y puede restringir aún más el acceso a la red o los límites de uso de la CPU y la memoria.

    
respondido por el Macil 07.02.2018 - 22:35
fuente
0

Google acaba de lanzar gVisor , que es una biblioteca de tamaño reducido para ejecutar la ventana acoplable en un contexto seguro.

    
respondido por el Pål Thingbø 21.11.2018 - 07:31
fuente
-3

Selinux y los potenciadores de seguridad comercializados están muy sobrevalorados en estos días y la mayoría de las personas que buscan emplearlos no es más que otra razón por la que se está utilizando algún software de seguridad adicional.

Una distribución / kernel de Linux actualizada después de 2.4 que está correctamente configurada para comenzar que no tiene esas fallas de seguridad desde los primeros días de Unix / Linux antes del kernel 2.4 antes del año 2000 Cuando no existían muchos conceptos de seguridad, es la mejor alternativa que está buscando.

¿Cuál es el propósito final específico que desea para SElinux, apparmor, rsbac, lo que sea y qué está haciendo específicamente que no se puede lograr de manera razonable y práctica en el kernel 3.0 y posteriores?

    
respondido por el ron 07.02.2018 - 21:24
fuente

Lea otras preguntas en las etiquetas