我必须设置一个尽可能安全的服务器.您将使用哪种安全增强功能以及为什么,SE
Linux,AppArmor或grsecurity?你能给我一些提示,提示,这三个人的利弊吗?
据我所知:
> SELinux:最强大但最复杂的
> AppArmor:比SELinux更简单的配置/管理
> grsecurity:由于自动培训的简单配置,比访问控制更多的功能
解决方法
我在这方面做了很多研究.我甚至利用了
AppArmor’s rulesets for MySQL.AppArmor是最弱的进程分离形式.我正在利用的属性是所有进程都具有对某些相同目录的写权限,例如/ tmp /. AppArmor的不错之处在于它在没有以用户/管理员方式进入的情况下打破了一些漏洞.然而,AppArmor有一些基本的缺陷,不会很快修复.
SELinux非常安全,也非常烦人.与AppAmoror不同,大多数合法应用程序在SELinux重新配置之前不会运行.大多数情况下,这会导致管理员错误配置SELinux或将它们全部禁用.
grsecurity是一个非常大的工具包.我最喜欢的是grsecuirty的增强型chroot.这比SELinux更安全,虽然设置一个chroot监狱需要一些技巧和一些时间,因为SELinux和AppAprmor“正常工作”.
有一个第四个系统,一个虚拟机.在VM环境中发现了漏洞,可能允许攻击者“爆发”.但是,VM在VM中具有比chroot更大的分离,因为您在进程之间共享的资源较少. VM可用的资源是虚拟的,并且在其他VM之间可以很少或没有重叠.这也涉及< buzzword> “云计算”< / buzzword>.在云环境中,您可以在数据库和Web应用程序之间实现非常清晰的分离,这对于安全性非常重要.也许1个漏洞可能拥有整个云,并且所有VM都在其上运行.