Estoy trabajando con una red empresarial con datos confidenciales y no estoy seguro de si debo usar SELinux o un antivirus para los servidores, terminales de punto de venta y máquinas de escritorio.
Necesito saber cuál es la diferencia entre SELinux y el antivirus, la funcionalidad de selinux que es mejor que el antivirus, las funciones integradas, y si puede reemplazar un programa antivirus
Respuesta rápida:
SELinux es un módulo de seguridad que proporciona listas de acceso y muchas otras características. No estoy familiarizado con los detalles de esta herramienta. Esperemos que otro respondedor pueda ayudarte.
Como SELinux se enfoca más en el control de acceso, sería una forma efectiva de limitar el acceso de los usuarios y cualquier posible ataque a la cuenta de ese usuario. Dicho sistema de "control de acceso" es bastante diferente del antivirus.
Anti-Virus es una herramienta de 'escaneo de archivos' que busca malware conocido públicamente que se encuentra en una base de datos actualizada regularmente. Desafortunadamente, la base de datos puede no estar completa y no se detectará malware a pequeña escala.
Anti-Virus es una herramienta sencilla de instalar pero de efecto limitado. Puede usarse para detectar ataques (generalmente después de que el ataque sea exitoso), o para intentar eliminar malware después de que la computadora esté 'infectada'. Desafortunadamente, algunos programas maliciosos no están en la base de datos y podrían permanecer, por lo que si está infectado, debería hacer Nuke From Orbit. (limpie y vuelva a instalar el sistema operativo)
A veces, el malware está contenido dentro de una cuenta de usuario que no es root , en cuyo caso la eliminación de esa cuenta debería ser suficiente. Sin embargo, esto solo funciona si estás seguro de que el virus no pudo haber obtenido root de acceso después del ataque inicial.
¿Es posible que SELinux otorgue mayor flexibilidad a las cuentas que no sean root ? Esto le ayudaría a evitar el uso de una cuenta root para aplicaciones.
¿Deberías usar SELinux o un antivirus? Sí. SELinux y un antivirus realizan tareas complementarias, por lo que usar ambos es mejor que usar uno u otro.
Un antivirus es una herramienta para encontrar amenazas conocidas. Puede mirar un archivo y decir "esto es un virus", pero no puede verlo y decir "esto no es un virus". El archivo puede contener una amenaza desconocida previamente.
SELinux es un sistema de permisos de grano fino. Puede hacer cosas como imponer una regla de "el servidor web no puede escribir en directorios fuera de su área de almacenamiento dedicado", esto limita en gran medida el daño que puede hacer un ataque, pero no hace nada para evitar que ejecute un programa infectado en primer lugar .
Los dos trabajan juntos: el antivirus detiene las amenazas conocidas, pero no puede lidiar con amenazas desconocidas, mientras que SELinux limita lo que puede hacer una amenaza desconocida, pero no reconocería una amenaza si fuera un poco.
Ambos SeLinux & Se deben usar antivirus / rootkit-hunters.
SeLinux es una herramienta para mantener a los usuarios y servicios bajo control mediante el uso de perfiles. Piense en ello como un servidor de seguridad del sistema de archivos porque cuando de forma incorrecta los configuró de forma igualmente inútil. Cuando se configura correctamente, puede causar calvicie prematura en los atacantes que se estresan por esas cosas.
El software antivirus generalmente solo protege contra el código conocido y no polimórfico localmente ejecutable. Y fallará para proteger contra vidas de software en la memoria o software que toque sus propios bits como los compilados con movfuscator que están diseñados intencionalmente no solo para derrotar al antivirus sino también para revertir los intentos de ingeniería de las herramientas de análisis de malware. En otras palabras, el antivirus solo protege realmente contra "script kidies" y su tipo.
Para servidores de producción, sugeriría algo para la seguridad de sus kernels (la única herramienta actualmente conocida para mitigar contra algunas formas de exploits de 0 días) además de lo mencionado anteriormente; vea el parche del kernel GrSecurity y es amigos de control de PaX. Al advertir que esta es la sugerencia de mayor dificultad enumerada en esta publicación, sin embargo, también es un dolor en el trasero para atacar sistemas con este nivel de seguridad. Así que definitivamente chequealo.
Para cualquier servidor remoto, algún tipo de sistema de detección de intrusos (IDS) como tripwire debe estar en su lugar antes de permitir que otros usuarios entren. Y para los servidores en red de forma persistente, a usted también le conviene configurar un cuadro snort para monitorear el tráfico de la red.
Para la segregación de procesos de usuario, he encontrado que firejail es compatible con las sugerencias mencionadas anteriormente y cuando la configuración ofrece un costo general más bajo y mucho más La lista de dependencias más pequeñas se mantiene actualizada que otras opciones de sandboxing / virtualización en el mercado que proporcionan niveles de control similares.
Todo lo que se dice si alguien quiere abrir su caja y tiene tiempo, recursos y amp; suficientes; acceso, entonces, su caja finalmente se abrirá. Por lo tanto, anime a sus clientes / usuarios a que hagan del cifrado y las copias de seguridad fuera del sitio una prioridad. Estas capas finales de seguridad son un poco más difíciles de implementar en un servidor multiusuario, por lo que la única opción experimental que dejaré para su consideración es una herramienta que estoy escribiendo para el registro de acceso del servidor. Cifrado asimétrico Paranoid_Pipes un script de bash que permite a los servidores remotos escribir registros que nunca podrán volver a leer en texto claro.
Una opción similar a la última en la lista pero no recomendable para esta pregunta debido a la estipulación de "intimación sensible" sería el sistema de archivos de enlace pero debido a que está manejando cosas privadas, sería mejor si lo mantuviera fuera del almacenamiento de terceros, sin importar el estado cifrado y el cifrado local y la copia de seguridad en canales seguros como los montajes sshfs.