¿Es realmente necesario reforzar el servidor con grsecurity en el entorno CentOS 6.3?

12

Me considero razonablemente bueno con TI, sin embargo, estoy relativamente fresco en la administración de servidores y sistemas. Soy un desarrollador web para mi empresa y me han encargado configurar y migrar a un nuevo VPS para alejarme del alojamiento compartido que mi empresa ha tenido durante mucho tiempo.

En este proceso, he pasado casi una semana endureciendo el servidor (la seguridad se convirtió en un problema, por lo que nos estamos moviendo en primer lugar) y he ido más allá para endurecer el servidor. He instalado y configurado ConfigServer Firewall, SSH reforzado, solo claves privadas, todo lo bueno. Pero encontré un programa llamado grsecurity que parece prometedor, pero creo que solo tengo curiosidad por saber si es o no una exageración ?

¿Hay cosas que ofrece grsecurity que realmente necesito? ¿O es algo que puedo hacer sin él? Leí algo acerca de cómo previene los desbordamientos de búfer y otras cosas, pero tengo curiosidad por saber si vale la pena, ya que no quiero agregar tantas partes móviles a la seguridad de este servidor que termine cayendo en mi cuenta. cara.

Aprecio cualquier comentario que me pueda dar, o enlaces a tutoriales / información que pueda tener.

Para lo que vale, el entorno del servidor es el siguiente:

  • Linode VPS 2048
  • CentOS 6.3
  • PHP 5.4.5
  • servidor de seguridad ConfigServer

Nuevamente, aprecio cualquier comentario que puedas ofrecerme. ¡Confío en esta comunidad implícitamente, y sé que ustedes saben de lo que están hablando!

    
pregunta Pierce 20.08.2012 - 17:34
fuente

2 respuestas

15

grsecurity (a.k.a. grsec) no es realmente un programa, es un paquete para Linux.

Incluye lo siguiente:

  • Un sistema Seguridad de acceso basado en roles (RBAC) completamente completo.
  • parches de kernel endurecidos con grsec.
  • Implementación PaX mejorada.
  • Restricciones de chroot (varias características para evitar que el malware escape de una jaula de chroot)
  • Mejoras generales de seguridad del sistema.

Estas características están diseñadas para evitar que Shellcode tenga éxito en el sistema. Las restricciones en chroot y otras funciones del sistema ayudan a evitar que procesos no confiables (por ejemplo, httpd) realicen tareas que no deberían.

Aquí hay algunos ejemplos de mejoras prácticas:

  • Prevención de ptrace y otros mecanismos de IPC entre procesos que no deberían comunicarse entre sí.
  • Capacidades forenses a través de /proc/[pid]/ipaddr
  • enlace
  • Auditoría completa de procesos, usuarios, grupos y otras entidades.
  • Capacidad para ocultar completamente los procesos en modo kernel del modo de usuario.

La parte más difícil y poderosa de la configuración de grsec es el sistema RBAC. Depende de usted para configurar de manera adecuada y completa los privilegios y capacidades de ciertos procesos. Por defecto, este es un conjunto bastante restrictivo. Esto a menudo puede bloquear y matar ciertos procesos, a menudo sin una razón obvia. Sin embargo, si lo ajustas correctamente, es una medida de seguridad increíble.

Es genial para escenarios de alta seguridad, y le sugiero que instale GRSEC con RBAC deshabilitado primero para darle una oportunidad. Configure un chroot adecuado para sus servicios (al menos httpd, preferiblemente también demonios de SQL / correo) para que el sistema no se vea afectado debido a una vulnerabilidad en un solo daemon.

Hay mucho que cubrir en una sola respuesta, por lo que te sugiero que leas el grsec wikibook .

En cuanto a si usted lo necesita, depende. Es complejo de configurar (incluye una compilación del núcleo desde la fuente, más una gran cantidad de auto-entrenamiento y edición de configuración manual) y tomará una cantidad significativa de tiempo para configurarlo completamente, pero el resultado es que obtienes una gran cantidad de resistencia contra Vulnerabilidades de ejecución remota de código en los demonios de servicio y el propio núcleo. Calcule cuánto tiempo desea dedicar a protegerse de tales ataques y continúe desde allí.

    
respondido por el Polynomial 20.08.2012 - 23:25
fuente
-2

Tema relacionado pero importante:

De acuerdo con esta página alojada de CentOS, que trata de tener núcleos personalizados, "CentOS está diseñado para funcionar como un entorno completo. Si reemplaza un componente crítico, puede afectar la forma en que actúa el resto del sistema. / p>

enlace

Consulte también esta respuesta relacionada con Stackexchange a la pregunta "¿Por qué Centos todavía no usa el kernel más reciente":

enlace

    
respondido por el derf 06.08.2014 - 20:29
fuente

Lea otras preguntas en las etiquetas