Gentoo profilo hardened

[stifler83]

Ho installato sul mio server di casa gentoo hardened se qualcuno ha qualche tips and trick da passarmi o comunque si è già cimentato nella sua configurazione e vuole darmi una mano l'accetto volentieri sopratutto per quanto riguarda pax ed rbac

[ago]

allora...puoi iniziare a capire cosa stai facendo, leggendo qui

Successivamente puoi dare uno sguardo a un quickstart su pax e come puoi ben vedere, sul sito upstream c'è la doc su pax

Per quanto riguarda grsecurity: trovi una guida qui

Per la scrittura di policy rbac, oltre alla documentazione, se vuoi un parere tecnico, puoi sempre fare un salto su #gentoo-it ( freenode ) troverai utenti preparati in merito.



P.S. Devo cmq segnalarti che le documentazioni che ti ho linkato, prodotte dal team gentoo, sono un tantino obsolete e anche in fase di "ristrutturazione" come puoi vedere sul bugzilla


Spero di essere stato esaustivo

[Pes88]

Colgo l'occasione di questo thread per porre anche io una domanda, gentoo-hardened + selinux potrebbe essere una buona soluzione per un server virtuale??? Un buon compromesso tra sicurezza è prestazioni?
O le altre distribuzioni ( mi riferisco principalmente a debian e redhat ) mi danno un livello di sicurezza migliore ?

E secondo voi il fatto di dover compilare ogni cosa è troppo impegnativo per un server di piccole dimensioni???
_________________
Pygoscelis papua, chiamato Gentoo dagli abitanti delle isole Falkland/Malvinas, noto per essere il pinguino più veloce!!! XD

[djinnZ]

PAX serve (detto in modo molto riduttivo) a proteggersi dagli exploit e lo si può utilizzare indipendentemente da grsec/selinux/appaarmour (nelle ultime versioni è comparso anche questo). L'impatto sulle prestazioni non è drammatico ma lo si avverte, soprattutto in fase di build e se vuoi usare java o mono saltano fuori diversi fastidi (basta vedere OOo ed il bug per la compilazione irrisolto da almeno due anni).

grsec è meglio se segui il wiki ufficiale del progetto.

Selinux... premesso che è rognoso, premesso che ha un impatto sulle prestazioni ed in particolare sull'IO (l'unico trucco è montare i filesystem preimpostando gli attributi in certi casi), premesso che una cosa partorita dalla NSA non può essere utile, premesso che mi ricorda troppo le policy del piffero di quell'altro... se vuoi farti del male usalo. Di buono ha solo che è l'unico sistema di sicurezza che ha già un nutrito pacchetto di policy predefinite.

@Pes88 vedi che esiste anche il crossbuild od il banale chroot e pacchetti binari (soluzione che ho applicato per anni, compilo, verifico le dipendenze e poi aggiorno). Non devi compilare sul server (anzi sarebbe meglio evitarlo).

Debian è debian (non mi piace, a causa di certi loschi figuri tendo sempre ad associare la definizione di debianista a solone del piffero, ma è apprezzabile, aggiornamento più lento rispetto a gentoo ma molto solido e ben verificato) ma quanto a RH (che schifo dalla rel 4, per gravi mancanze) è come usare M$ senza il supporto hardware di M$, stessi costi, stesse assurde limitazioni, stessa impostazione del "reinstalla al minimo problema", stesso divieto implicito a personalizzare. Stai parlando di un prodotto commerciale ottuso a misura del tecnico bimbominkia buono solo a metter il dvd nel computer e reinstallare ma con il software commerciale lo impongono, è solo grazie a questo ed all'idiota tendenza a pensare che più una cosa costa meglio deve essere che si mantiene in piedi IMHO (ok hanno provato ad impormelo e sono un tantino storto in materia).

[ago]

[Pes88]

ok!!
Quindi diciamo che la soluzione migliore è gentoo-hardened + grsecurity, cosi mi faccio un bel po di esperienza nello scrivere le policity !!

Io avevo scelto selinux, perché ho visto che è quello più diffuso, è ho pensato che fosse il migliore!

La mia unica preoccupazione per questo server è di ottenere un buon livello di sicurezza , prima di tutto la sicurezza dipende principalmente da chi configura il software, quindi una configurazione scadente mi pregiudica tutto il sistema, però una gentoo-hardenden+grsecurity+firewall è buona soluzione??
O si possono trovare soluzioni software migliori???
_________________
Pygoscelis papua, chiamato Gentoo dagli abitanti delle isole Falkland/Malvinas, noto per essere il pinguino più veloce!!! XD

[ago]

Imho puoi sempre valutare soluzioni tipo bsd

[Pes88]

[djinnZ]

PAX è indipendente da grsec e può convivere con selinux (ma a questo punto andrei più su apparmour o se vuoi farti del male vai su rsbac che resta il top in termini di possibilità ma anche di rogne). Per certi versi è il giusto completamento dell'hardening ma opera a livello kernel.

grsec con selinux è possibile ma sarebbe una inutile duplicazione dei controlli, fanno entrambi pressapoco le stesse cose. Diciamo che se devi installarti il tipico server smb+web+sql+php+java selinux ti offre un buon livello di protezione già pronto, grazie al lavoro di pebenito&c ed alla diffusione della soluzione (puoi anche andarti a scopiazzare le policy da centos per dirne una). Però è lento (soprattutto con moti piccoli file, ti ho già indicato il tip per aggirare ma richiede un partizionamento estremamente complesso), non è questa gran cosa e gli attributi occupano spazio.
grsec +pax è un buon compromesso per un sistema su misura, senza dipendenze e servizi inutili.
rsbac ti consente anche di decidere cosa può scrivere e cosa no il singolo processo in base alla porta ip alla quale si è connesso, all'utente proprietario ed all'ora in cui viene eseguito per dirne una ma è qualcosa di mostruoso da configurare (d'altro canto l'estrema granularità dovrebbe essere il suo punto di forza).
Ed almeno nella mia esperienza è facile che policy ed attributi vadano in malora (backup necessario) o che perdi l'accesso all'amministratore, che è realmente distinto rispetto agli altri sistemi.

Caveat: rsbac non brilla per stabilità, è estremamente complesso ed articolato e per scrivere le policy devi partire praticamente da zero e persino la documentazione ufficiale del progetto ha dei buchi (nel senso che ci sono funzioni completamente non documentate). Predisporre le policy è realmente una fatica immane. Ti sconsiglio vivamente il cimento a meno che non hai molto tempo da perdere e certo non su una macchina per lavoro.

Con le applicazioni bytecode il problema essenziale è che non puoi impostare i permessi speciali per accedere a memoria o device su un codice generato al momento, dovresti attribuire al runtime i privilegi di amministratore ed a questo punto rendi il sistema vulnerabile a tutti gli exploit possibili. Ovviamente puoi anche decidere di utilizzare parzialmente le opzioni di pax e grsec.

Tip importante che ora mi sovviene: abilita tutte le opzioni grsec per logging, chroot jail etc (compresa la flag per abilitarle tutte di default) e poi te le disabiliti tramite sysctl.conf. Decisamente meglio anche se non potrai fare a meno di avere una sfilza di log di violazione ad ogni avvio.

Attenzione che qualche incompatibilità con xen/kvm c'è (virtualbox crasha che è un piacere ma non mi sono ancora neppure applicato a vedere se riporta un qualche errore e se non dipende da un errore di configurazione).

@ago: vero che il revdep-rebuild non è più così necessario ma non mi pare utile utilizzare su una macchina di lavoro una distribuzione che può richiedere ore per il ripristino di una funzione durante l'aggiornamento.

Compili su un'altra macchina, al massimo usi un chroot, quando sei certo che tutto sia stato aggiornato e le dipendenze risolte aggiorni con i binari.

Te lo immagini un webserver che resta fermo per due ore perchè dopo aver aggiornato la libc devi attendere che siano ricompilati apache, java, php e server sql. O che si schianti apache e solo dopo un giorno ti rendi conto che lo dovevi ricompilare?

Meglio evitare. Lo dico perché mi è successo ai tempi della prima gentoo o forse quando ancora andavo di LFS, ho aggiornato, me ne sono andato, ma non mi sono accorto che il demone di stampa (forse era ancora lpd) si schiantava. Mezza giornata di lavoro persa ed il pomeriggio a lavorare a rilento mentre ricompilavo mezzo mondo.

Perché complicarsi la vita inutilmente?

Un'ultima considerazione: le distribuzioni binarie, in particolare RH, richiedono policy estremamente severe che su gentoo non sono così indispensabili come sembra dato che (sempre che non sei così scemo da abilitare ed installare l'impossibile) non hai altro che quel che ti serve ed hai deciso di installare, non ci sono potenziali pacchetti vulnerabili autoconfigurati in automatico. Mi pare che fosse proprio RH o suse che in automatico ti installava nis bind e telnet ad ogni aggiornamento e li lasciava attivi e malconfigurati (tanto le impostazioni di default del firewall prevedevano i rifiuto di tutte le connessioni... che str******).

[lavish]

Ciao stifler83, Pes88, etc

Sono l'"utente preparato in merito" a Grsecurity RBAC, con vaghe nozioni anche sugli altri sistemi MAC... e no, sono qui non per farvi venire il mal di testa.

Tralasciando un attimo le varie considerazioni piu' o meno corrette gia' fatte dagli altri, la cosa principale che dovete capire su un sistema in cui implementare una policy di sicurezza e' "cosa voler proteggere da chi". Rispondere a questa domanda in modo esaustivo non e' per nulla banale, ma farlo vi condurra' sicuramente verso la soluzione migliore per voi. Ricordate in ogni caso che nell'ambito della sicurezza non esiste una panacea e ogni sistema soddisfa un determinato set di esigenze.

Ci tengo a precisare alcune cose, riguardo a quanto detto da prima:

• PaX non e' indipendente da Grsecurity, ma ne fa parte;
  
• Grsecurity e' utilizzabile con SELinux, ma usare i sistemi di controllo degli accessi delle 2 soluzioni penso sia da folli;
  
• le policy di SELinux non ben testate su gentoo, non sono l'unico a ritenere che SELinux sia per ora usabile in produzione solo su Fedora/RH,
  
• visto il suo utilizzo su Ubuntu, penso che il sistema MAC piu' diffuso sia AppArmor, non SELinux anche se sicuramente e' di quest'ultimo che si sente parlare maggiormente.
  

Inoltre aggiungo qualche considerazione personale:

• Usare chroot per proteggere le applicazioni, a meno di non farne hardening dei chroot tramite Grsecurity, e' non solo inutile, ma anche dannoso;
  
• dei sistemi *BSD, l'unico che implementa un sistema MAC e' FreeBSD, ma a parte alcuni aspetti teorici non ne so molto.
  

Ciao
_________________
minimalblue.com | secgroup.github.io/

[djinnZ]

[Pes88]

Grazie mille per le risposte, mi avete dato un bel po di informazioni!
Penso che metterò su gentoo-hardened + grsecurity ....
_________________
Pygoscelis papua, chiamato Gentoo dagli abitanti delle isole Falkland/Malvinas, noto per essere il pinguino più veloce!!! XD

[ago]

Mi secca fare diversi quote...rispondo in maniera veloce:

@djinnz intendevo freebsd
Per quanto riguarda la compilazione, non ho mai avuto problemi simili e certamente non escludo che li possa riscontrare in futuro, ma se si presta poco poco di attenzione non succede mai nulla di tragico. Certo che se per un minuto che il server va giù ti levano mezzo stipendio, ci pensi due volte

@pes
Siccome si è parlato di linux, hardening e altro, e tu chiedevi ancora più sicurezza, ti suggerivo di provare il sistema bsd, qualora non l'avessi già fatto, e fare successivamente dei test con cui puoi stabilire qual'è più affidabile...il senso era più o meno questo.

[djinnZ]

[mack1]

Ciao volevo solo aggiungere un paio di link che ti possono aiutare:

1-uno script che ti mostra le varie features di pax/grsecurity attive sul tuo sistema:

http://www.trapkit.de/tools/checksec.html

2-una comparazione dell'uso di alcune tecniche di hardening (grsec/pax con relro,ssp,alsr, bit nx,etc) da parte di alcune distro linux (gentoo hardened,opensuse,ubuntu,fedora e debian):

http://labs.mwrinfosecurity.com/notices/security_mechanisms_in_linux_environment__part_1___userspace_memory_protection/

http://labs.mwrinfosecurity.com/notices/assessing_the_tux_strength_part_2_into_the_kernel/

Ciao

[theroot]

Ciao a tutti,
ho letto con interesse la vostra discussione, sto infatti pensando di fare un installazione di Gentoo Hardened nella speranza di rendere più sicure le macchine che gestisco, visto che mi è già successo di trovarmi qualche rootkit (difficile sempre capire quale da quale servizio entrano). Devo ammettere che qualche dubbio mi è rimasto...

Sono dell'idea di utilizzare Pax + Grsec e, se ho capito bene, anche PIE che va a braccetto con Pax. Mi viene un primo dubbio sul fatto che l'utilizzo di Pax+Pie potrebbe appesantire la macchina diminuendo sensibilmente le prestazioni. Avete esperienza in merito?

Sulla mia Gentoo, lanciando

[djinnZ]

Beh le prestazioni calano per forza ma nulla di preoccupante (sarà la millesima volta che lo ripeto, va a finire che dovrò editare la signature).
I profili sono 8 o 9 secondo se vuoi multilib o meno.
reiserfs 3.6 mi ha dato problemi solo con selinux.

Una volta acquisiti i privilegi di root ci sono diversi modi di tirarsi fuori dal chroot ed andare a romper le scatole al sistema host od ai suoi servizi, grsec ha delle opzioni apposite per evitare seccature di questo genere (come CHROOT_SHMAT, FINDTASK, SYSCTL E UNIX, anche se al momento proprio lo ho disabilitato).

Usando il chroot su un sistema "normale" hai un minimo di protezione in più ma... non è questa gran garanzia e proprio un minimo in più.
Premesso che ormai nessuno più si sogna di andare ad impostare adeguatamente i permessi nel chroot ed il primo vecchio trucco era crearsi un eseguibile suid (CONFIG_CHROOT_CHMOD) per lanciare una shell superuser da utente normale e legittimo.

Come ho detto io lo trovo comodissimo al contrario, per poteggere i servizi "chrootati" (che orrido barbarismo) dagli aggiornamenti del sistema, non per proteggere il sistema dalle loro eventuali vulnerabilità.

Lasciando perdere le implicazioni del codice ricorda che PAX non implica grsec e viceversa e che pie è una cosa del compilatore. Vedi a cosa serve ogni cosa e decidi se abilitarlo.
Per esempio se usi il chroot solo per compilare le protezioni servono solo a crearti problemi.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[ago]

[djinnZ]

[ago]

[theroot]

La prima installazione di Gentoo Hardened è riuscita con successo, devo solo prendere praticità con pax e grsec, per ora sono ancora 2 entità non pienamente sotto il mio controllo; dopodiché posso mettere gli hard disk nel pc di destinazione.

Come faccio solitamente, ho messo l'hard disk da installare nel mio pc e ho avviato il mio sistema operativo Gentoo: dopo aver formattato e copiato stage e portage hardened mi sono chrootato e ho compilato il kernel. Una volta terminato e configurato grub, posso partire con il gentoo hardened...
Domanda leggermente OT: invece di fare il boot sul sistema hardened che non ha ambiente grafico, è fattibile lanciare il mio sistema Gentoo e poi chrootarmi per poi installare i pacchetti mancanti? Il mio dubbio principale è se può cambiare qualcosa visto che il mio sistema Gentoo non è hardened e non ha la stessa versione del kernel.

Tornando al discorso sicurezza, districandomi nella documentazione Gentoo, non aggiornatissima, viene consigliato di emergere chpax e paxctl se si usano alcuni pacchetti tipo x11, java... Non essendo il mio caso ho lasciato stare: avete notato problemi su macchine server senza averli installati?

Mi rimetto a configurare la macchina, prossimo passo e creare delle regole (simili a quelle di Selinux) per qui se provo a lanciare un servizio non nella sua porta standard non ci riesco
Per testare pax e grsec avete suggerimenti?

A presto

P.S: ho lasciato il syslog con la configurazione di default di Gentoo Hardened, grsec.log e kern.log hanno delle dimensioni stratosferiche... a breve non li loggo più.

[ago]

[djinnZ]

[theroot]

[ago]