用什么来加固Linux盒？Apparmor，SELinux，grsecurity，SMACK，chroot？

Question

我计划回到Linux作为桌面机器。我想让它更安全。尝试一些强化技术，特别是因为我计划拥有自己的服务器。

• 什么是一个好的、理智的强化策略？我应该使用哪些工具- Apparmor，SELinux，SMACK，chroot？
• 我应该只使用一种工具，例如Apparmor，还是以上这些工具的组合？
• 这些工具有哪些优点/缺点？还有其他的吗？
• 哪一个有一个合理的配置与安全(改善)的比率？
• 我宁愿在桌面环境中使用哪一个？服务器环境中的哪一个。

这么多问题。

Answer 1

AppArmour通常被认为比SELinux简单。SELinux非常复杂，甚至可以在军事应用中使用，而AppArmour则更简单。SELinux在i节点级别上运行(即限制的应用方式与ACL或UNIX权限相同)，而AppArmour则适用于路径级别(即您根据路径指定访问，因此当路径更改时可能不适用)。AppArmour也可以保护子进程(比如mod_php )，但是我对它的真正使用持怀疑态度。AppArmour似乎找到了进入主流内核的途径(它在-mm IIRC中)。

我对SMACK不太了解，但从描述上看，它看起来像简化的SELinux。如果您想要查看RSBAC，也可以使用RSBAC。

chroot的使用范围有限，我认为它在桌面环境中不会有多大用处(它可以用于区分守护进程和整个系统(如DNS守护进程)的访问)。

当然，当发行版支持AppArmour/SELinux时，应用“泛型”强化(如PaX、-fstack等)是值得的。我想SELinux更适合于高度安全的领域(它对系统有更好的控制)，而AppArmour更适合简单的强化。

一般情况下，我不会很费心地加固普通桌面，除非您在高度安全的领域工作，否则除了关闭未使用的服务、定期更新等之外。如果你想确保安全，我会用你的发行版支持的。其中许多是有效的，需要应用程序支持(对于e.x )。编译工具以支持属性和书面规则)，所以我建议使用您的发行版支持的内容。

Answer 2

使用GRSecurity + PAX。其他的一切都只是营销，牛头和/或主要是基于PAX团队的工作。作为PAX的主要开发者，pipacs刚刚在“黑帽2011”/“PWNIE”上获得了终身成就奖：

他的技术工作对安全产生了巨大的影响:近年来，他的想法对所有主要操作系统的安全改进至关重要，他的想法间接地塑造了大多数现代内存破坏攻击技术。今天，没有人能认真对待我们的胜利者所开创的防御性发明。

所以，如果你真的想要一个安全的盒子，就去找grsecurity+pax。GRsec为您提供了对计算机的RBAC控制，大量基于chroot的文件系统保护，PaX关闭了黑客使用的大多数可能的攻击矢量。您还可以使用paxtest测试您的盒，以查看您的盒具有什么样的保护和漏洞。

可能会对业绩产生影响。阅读帮助:)。