[linux-l] Einige Fragen zu GRsecurity...

Thomas Knop tknop at maxrelax.de
Do Jan 22 20:11:44 CET 2004 

* Oliver Beck <manofwar at web.de> [21.01.04 07:06]:
> On Tue, 20 Jan 2004 22:25:37 +0100
> Thomas Knop <tknop at maxrelax.de> wrote:
> > Speziefische Regeln vor allgemeinen.
> 
> Das soll heissen, das ich erst die ganzen ACL's für die einzelnen
> Subjekte eintragen soll, und später erst die Default-ACL's?
Nee ;-) Wie du das aufschreibst ist IMHO egal. Gemeint war, dass 
speziefische Regeln vorrang haben. Programm A darf X ist speziefisch.
Kein Programm darf nichts ist allgemein.
 
> > Die wesentlichere Frage: Was willst du erreichen?
 
> Mir geht es primär darum, 'root' zu entmachten.
> Die netten Beigaben, die mir GRsec bringen (Speicherschutz [PaX],
> CHROOT-Schutz, etc.) sind natürlich nicht verachtenswert.
> Aber diese sind wesentlich einfacher umzusetzen als ACL's zu
> basteln/ihre Syntax zu verstehen.
Warum root zumachen? Mein Vorgehen:

1. Sowenig installieren wie möglich.
2. Sicherheitsrelevante Software sehr sorgfältig auswählen. Dies ist bei
   einem System, zu dem nur "trusted" User Zugang haben relativ leicht.
   a) Daemons möglichst nicht mit root-Rechten
   b) Wenn möglich in einer chroot Umgebung
3. bugtrag oder ähnliches lesen. Sicherheitsupdates sofort durchführen.
4. Kernel ohne Modulsupport mit GrSec installieren.

Wenn du das machst, muss ein Angreifer
a) einen Netzwerkdämon aushebeln
   + Durch 2., 3. & 4. (PAX) ist das Risiko sehr einschränkbar.
   + Wegen 2. ist er dann erst ein localer User.
b) durch ein lokalen Softwarefehler root Rechte erhalten
   + Durch 1., 2 und 3. ist das Risiko sehr einschränkbar.
   + Rootkits sind wegen 4. nahezu ausgeschlossen (kein /dev/[k]mem,
     keine Module) zu installieren.
   - Kernelbugs sind ein Risiko.

Mit ACL's kannst du dann noch die Software härten. Nachteil: Du musst
eine so gut wie möglich produktionsgleiche Testumgebung haben, sonst
fällst du damit schnell hin und irgend ein Dienst scheitert. Das Problem
hast du allerdings auch mit anderen Systemen.

Das nimmt viel Zeit und damit operative Kosten in Anspruch. Security ist
halt auch nicht etwas was einmal mach und dann ist's für immer gut ...

Gruß Thomas
-- 
<Eigenwerbung>
http://maxrelax.de/~tknop/diet-router.html
</Eigenwerbung>

Mehr Informationen über die Mailingliste linux-l