grsecurity Alternative?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

grsecurity Alternative?

Beitrag von Exxter » 18.05.2017 08:26:02

Hallo,

ich nutze seit vielen Jahren grsecurity auf meinen Servern. Ich war immer sehr zufrieden damit, es war relativ leicht zu konfigurieren und störte den Betrieb des Servers kaum. Jetzt gibt es den Patch nur noch gegen Bares: https://www.golem.de/news/linux-hardeni ... 27514.html
Ich habe schon hingeschrieben, die Preise dafür sind jenseits von Gut und Böse. Sprich, grsecurity ist out. Welche Alternativen nutzt ihr? Wie sichert ihr eure Server? Ich meine natürlich nicht die normalen Standardeinstellungen wie zB. hier beschrieben: https://www.thomas-krenn.com/de/wiki/Ab ... an_Servers
Ich habe schon überlegt, auf SELinux zu wechseln, aber ich vermute da ist der Aufwand es einzurichten doch deutlich höher und ich habe etwas "Respekt" vor SELinux wegen der Komplexität.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: grsecurity Alternative?

Beitrag von uname » 18.05.2017 12:48:30

[1] spricht dafür ein anderes Produkt zu wählen. Wer garantiert dir, dass der Autor nicht zu den Schritt gezwungen wurde, damit die Sicherheit der Software unterwandert werden kann?

[1] https://de.wikipedia.org/wiki/Security_ ... _obscurity

Von diesen Softwareprodukten halte ich fast so wenig wie von Virenscannern unter Windows. Man glaubt sie sind nützlich aber führen zu ganz neuen Problemen.

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: grsecurity Alternative?

Beitrag von tobo » 18.05.2017 14:01:54

Security through obscurity ist hier aber nicht zutreffend, da der Käufer ja mit dem Source Code hantiert. Also das Gegenteil von unklar.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: grsecurity Alternative?

Beitrag von inne » 18.05.2017 14:37:19

Wo möglich Privilegien senken, durch eigene UID+GID und zusätzlich Apparmor? Wobei letzteres nicht überall läuft.

Wobei laut Artikel Grsecurity ja noch mehr bietet.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: grsecurity Alternative?

Beitrag von breakthewall » 19.05.2017 09:20:58

Das ist so nicht korrekt. Weder gibt es GrSecurity nur noch gegen Bares, noch ist GrSecurity aus der Mode. Um genau zu sein gibt es unter Linux nichts Besseres, da es im Vergleich zu übrigen Optionen weitaus effektiver ist. Und der Grund warum die Stable-Patches von GrSecurity nur noch gegen Bares zu haben sind, liegt an missratenen Unternehmen die GrSecurity genutzt und damit Unrat betrieben haben, wodurch das Projekt in Verruf geriet. Genau darum haben Unternehmen nur noch zu zahlen, wenn sie etwas durchgängig Getestetes haben wollen, womit das Geld so gesehen auch der Community zugute kommt. Doch nach wie vor werden die Beta-Patches frei zum Download zur Verfügung gestellt. Auch im Unstable-Repository von Debian ist dieser Beta-Patch immer enthalten, wie auch bereits fertig gepatchte Linux-Kernel zur sofortigen Nutzung.

Nutze jene Linux-Kernel nun schon einige Jahre, und konnte bislang keine essentiellen Probleme feststellen, die eine Nutzung nun problematisch gestaltet hätten. Das einzige womit man sich eben arrangieren muss ist, dass das System beim Erststart erst mal kaputt ist, und entsprechend erst die Restriktionen von etlichen Binarys aufgehoben werden müssen. Aber sofern man sich hier richtig vorbereitet, läuft das an und für sich.

Würde es vermeiden nur zu SELinux oder AppArmor zu greifen, da es hier nur um MACs geht sonst nichts. Und angesichts der unmenschlichen Syntax von SELinux, ist das den Aufwand gar nicht wert. Ein Fehler in der Konfiguration, und schon hat man mitunter dicke Hintertüren produziert. Dagegen wäre AppArmor zwar deutlich einfacher gehalten, hat aber dafür auch wieder Nachteile. Insbesondere weil dessen Sicherheit auf Pfadnamen basiert, und nicht wie bei SELinux auf Labels. Letztlich muss man auch dazu sagen, dass ein Linux-Kernel mit GrSecurity auch mit SELinux und AppArmor zugleich laufen kann, jedoch die anderen untereinander nicht. Doch die wichtigste Eigenschaft bei GrSecurity ist, dass man hier schon direkt am Linux-Kernel ansetzt, ihn erheblich erweitert und entsprechend restriktiv konfiguriert. Das macht es schwieriger mögliche Sicherheitslücken auszunutzen, sowohl im Linux-Kernel selbst als auch bei laufenden Programmen, und prinzipiell profitiert das gesamte System davon, da bspw. Rechte oder Restriktionen jedweder Art nun noch wirksamer und schwerer zu umgehen sind. Hinsichtlich SELinux und AppArmor, langt ein ordentlicher Kernel-Exploit und das war es mit beiden. Und wenn man einmal die Geschichte verfolgt hat, gab es sehr viele Sicherheitslücken in der Vergangenheit, die beim Mainline-Kernel gegriffen haben jedoch nicht beim GrSecurity-Kernel.

Persönlich empfinde Ich hier RBAC als ausserordentlich hilfreich, insbesondere mit dem Auto-Learning-Mode. Sodass ein Nutzer sein System quasi so wie sonst auch benutzt, aber möglichst genau, und im Hintergrund sozusagen das Verhalten aufgezeichnet wird. Danach wird aus jenen Daten automatisch eine Policy erstellt, die im Anschluss auch forciert wird. Ab hier läuft dann nichts anderes mehr, und muss dann entsprechend erst hinzugefügt werden.

Und abgesehen davon, unterteile Ich das System stets in mehrere LVM-Volumes. So kann jeder Bereich einen eigenen Sicherheitskontext bekommen, z.B. Mountpoints wie ro, nodev, noexec, nosuid als Basisgrundlage. Darüber hinaus laufen wichtige Programme stets in einer Sandbox, besonders der Browser, und auch diverse Systemdienste werden so eingeschränkt. Und inkl. strengen iptables, war das an und für sich bislang ausreichend.

Hier noch eine kleine Übersicht, die nicht auf Anhieb sichtbar ist:

https://grsecurity.net/compare.php

Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: grsecurity Alternative?

Beitrag von Exxter » 19.05.2017 09:46:03

Hallo,

danke für Eure Meinungen.

Grsec hat nichts mit security by obscurity zu tun.

Danke auch breakthewall, ich sehe es genau so. Grsec war immer eine große Bereicherung die relativ leicht zu erlernen und anzuwenden war. Aber da ich meine grsec-Kernel immer selbst compiliert habe, trifft deine Aussage nur bedingt zu, denn die aktuellen Sourcen (auch die von testing) bekommt keiner mehr kostenlos. Dh. früher oder später wird grsecurity auch aus Debian fliegen, weils keiner mehr pflegt. Oder es findet sich jemand, der es weiter pflegt, aber dazu habe ich bisher noch nichts gefunden.

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: grsecurity Alternative?

Beitrag von inne » 19.05.2017 10:23:23

breakthewall hat geschrieben:Auch im Unstable-Repository von Debian ist dieser Beta-Patch immer enthalten, wie auch bereits fertig gepatchte Linux-Kernel zur sofortigen Nutzung.
Zumindest für stable/Jessie gibt es einen Backport: https://packages.debian.org/search?keyw ... mage-grsec.

Für den Desktop wohl gar nicht gedacht? Wobei das alles verzichtbare Pakete sind, aber warum werden die entfernt?

Code: Alles auswählen

apt-get -s -t jessie-backports install linux-image-grsec-amd64 linux-image-4.9.0-2-grsec-amd64
Paketlisten werden gelesen...
Abhängigkeitsbaum wird aufgebaut....
Statusinformationen werden eingelesen....
Das folgende Paket wurde automatisch installiert und wird nicht mehr benötigt:
  hyphen-en-us
Verwenden Sie »apt-get autoremove«, um es zu entfernen.
Die folgenden zusätzlichen Pakete werden installiert:
  attr gradm2 linux-grsec-base pax-utils paxctl
Vorgeschlagene Pakete:
  linux-patch-grsecurity2
Die folgenden Pakete werden ENTFERNT:
  task-desktop task-gnome-desktop xserver-xorg-input-all
  xserver-xorg-input-vmmouse
Die folgenden NEUEN Pakete werden installiert:
  attr gradm2 linux-grsec-base linux-image-4.9.0-2-grsec-amd64
  linux-image-grsec-amd64 pax-utils paxctl
0 aktualisiert, 7 neu installiert, 4 zu entfernen und 308 nicht aktualisiert.
Remv task-gnome-desktop [3.31+deb8u1]
Remv task-desktop [3.31+deb8u1]
Remv xserver-xorg-input-all [1:7.7+7]
Remv xserver-xorg-input-vmmouse [1:13.0.0-1+b3]
Inst attr (1:2.4.47-2 Debian:8.8/stable [amd64])
Inst gradm2 (3.0~201408301734-1 Debian:8.8/stable [amd64])
Inst linux-grsec-base (12~bpo8+1 Debian Backports:jessie-backports [all])
Inst linux-image-4.9.0-2-grsec-amd64 (4.9.18-1+grsec201703261106+1~bpo8+1 Debian Backports:jessie-backports [amd64])
Inst linux-image-grsec-amd64 (12~bpo8+1 Debian Backports:jessie-backports [amd64])
Inst pax-utils (0.8.1-1 Debian:8.8/stable [amd64])
Inst paxctl (0.9-1 Debian:8.8/stable [amd64])
Conf attr (1:2.4.47-2 Debian:8.8/stable [amd64])
Conf gradm2 (3.0~201408301734-1 Debian:8.8/stable [amd64])
Conf linux-grsec-base (12~bpo8+1 Debian Backports:jessie-backports [all])
Conf linux-image-4.9.0-2-grsec-amd64 (4.9.18-1+grsec201703261106+1~bpo8+1 Debian Backports:jessie-backports [amd64])
Conf linux-image-grsec-amd64 (12~bpo8+1 Debian Backports:jessie-backports [amd64])
Conf pax-utils (0.8.1-1 Debian:8.8/stable [amd64])
Conf paxctl (0.9-1 Debian:8.8/stable [amd64])

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: grsecurity Alternative?

Beitrag von breakthewall » 19.05.2017 11:12:18

Exxter hat geschrieben:Aber da ich meine grsec-Kernel immer selbst compiliert habe, trifft deine Aussage nur bedingt zu, denn die aktuellen Sourcen (auch die von testing) bekommt keiner mehr kostenlos. Dh. früher oder später wird grsecurity auch aus Debian fliegen, weils keiner mehr pflegt. Oder es findet sich jemand, der es weiter pflegt, aber dazu habe ich bisher noch nichts gefunden.
Unter Debian-Unstable zeigt Apt die neuesten Patchversionen an. Die sind mit jenen auf der GrSecurity-Seite nahezu identisch, auch vom Zeitrahmen her. Allerdings sollte man noch dazu sagen, dass SELinux, AppArmor und GrSecurity längere Zeit sträflich vernachlässigt wurden unter Debian. Das bedeutet, dass bspw. die Policys für SELinux unter Debian-Stable und Testing stark veraltet und daher nutzlos sind. Sowohl SELinux als auch GrSecurity werden noch nicht so lange ordentlich unterstützt, und wenn dann nur unter Debian-Unstable wo das mit den Patches und Policys kein Thema ist. Hatte zumindest keine Probleme damit.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: grsecurity Alternative?

Beitrag von breakthewall » 19.05.2017 11:24:03

Unter Debian-Stable ist die Nutzung kritisch aufgrund veralteter Pakete.

Der Output von Apt in der VM mit Debian-Unstable inkl. Gnome 3:

Code: Alles auswählen

# apt install linux-image-grsec-amd64
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.       
Statusinformationen werden eingelesen.... Fertig
The following additional packages will be installed:
  attr gradm2 linux-grsec-base linux-image-4.9.0-2-grsec-amd64 pax-utils paxctl
Vorgeschlagene Pakete:
  linux-patch-grsecurity2 linux-doc-4.9 debian-kernel-handbook
Die folgenden NEUEN Pakete werden installiert:
  attr gradm2 linux-grsec-base linux-image-4.9.0-2-grsec-amd64 linux-image-grsec-amd64 pax-utils paxctl
0 aktualisiert, 7 neu installiert, 0 zu entfernen und 53 nicht aktualisiert.
Es müssen 48,6 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 339 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n]
Hier will Apt nichts entfernen. Und da Ich das selbst schon länger nutze, wäre es aufgefallen wenn das nur ohne Desktop ginge.

Antworten