Questions tagged «hardening»


3
神话还是现实:SELinux可以限制root用户吗?
我在某处(也许在LinuxCBT的SELinux课程中;但我不确定)读或听到过,有在线Linux服务器,并且还提供了root用户的密码。Linux服务器使用SELinux规则进行了加固,因此每个人都可以使用root用户登录,但不会对操作系统造成任何损害。 在我看来,这似乎是个神话,但我想确保:是否可以加固Linux机器(可能使用SELinux),从而即使root用户也不能对其进行特定的恶意活动?(例如:删除系统文件,清除日志文件,停止关键服务等) 这样的Linux盒子将是构建蜜罐的一个很好的起点。 编辑: 基于一个答案(现已删除)和一点谷歌搜索,我至少得到了两个指向此类加固Linux服务器的链接。不幸的是,两个服务器都关闭了。作为记录,我将在此处复制粘贴说明: 1)从http://www.coker.com.au/selinux/play.html: SE Linux机器上的免费root用户访问权限! 要以root用户身份访问我的Debian播放机ssh到play.coker.com.au,密码为... 请注意,如果要成功运行这些机器,则需要大量技能。如果必须询问是否应该运行一个,则答案为“否”。 这样做的目的是证明SE Linux可以在没有任何Unix权限的情况下提供所有必要的安全性(但是仍然建议您对真实服务器也使用Unix权限)。此外,它还使您有机会登录SE机器并查看其外观。 登录到SE Linux播放机时,请确保在登录前使用-x选项禁用X11转发或在/ etc / ssh / ssh_config文件中设置ForwardX11 no。另外,在登录之前,请确保使用-a选项禁用ssh代理转发或在/ etc / ssh / ssh_config文件中将ForwardAgent设置为no。如果您没有正确禁用这些设置,那么登录到游戏机将使您面临通过SSH客户端受到攻击的风险。 这是讨论这样的一个IRC频道,它是#selinux上irc.freenode.net。 这是一个快速常见问题解答 2)来自http://www.osnews.com/comments/3731 Hardened Gentoo的目的是使Gentoo在高安全性,高稳定性的生产服务器环境中可行。该项目不是与Gentoo脱节的独立项目;它旨在成为一个Gentoo开发人员团队,专注于为Gentoo提供可提供强大安全性和稳定性的解决方案。该机器是Hardened Gentoo的SELinux 演示机器。它的主要用途是测试和审核SELinux集成和策略。

2
用什么来加固Linux机箱?Apparmor,SELinux,grsecurity,SMACK,chroot?
我打算回到Linux作为台式机。我想使其更加安全。并尝试一些强化技术,特别是因为我计划要获得自己的服务器。 什么是好的,理智的硬化策略?我应该使用哪些工具-Apparmor,SELinux,SMACK,chroot? 我应该仅使用一种工具(例如Apparmor)还是上述两种方法的组合? 这些工具有哪些优点/缺点?还有其他吗? 哪些配置与安全性(改进)的比率合理? 我想在桌面环境中使用哪一个?在服务器环境中的哪一个。 这么多的问题。

2
隐藏基于组的其他用户的进程(在Linux下)?
是否可以在Linux系统下为某些用户组配置进程隐藏? 例如:组X的用户不应在ps / top或/ proc下看到组Y的用户拥有的进程。 是否可以使用SELinux配置这样的设置? (我模糊地记得有趣的grsecurity补丁集中的类似功能-但是IIRC,它更通用-此外,我想配置一个普通的Linux发行版而不必维护自定义内核。) 编辑:为了更好地说明,Solaris 10具有类似的功能。该示例不是通用的,而是可以配置为一个用户或某些用户只能在ps等中查看其自身进程的信息。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.