Selinux, Grsecurity o RSBAC???
A la hora de montar un servidor uso el kernel genérico que acompaña a la
distribución. Configuro los servicios teniendo en cuenta siempre la seguridad
tal y como se aconseja en la doc de cada uno de los proyectos(Samba, Apache,
etc...).
El caso es que tengo varias dudas:
- ¿Debian aplica PIE y SSP a sus aplicaciones?
- PAX no está en la línea principal del kernel, pero incluye muchas técnicas
interesantes para que Debian lo incluyera, o al menos para que el parche que
ofrece Etch estuviera algo más currado, ya que se tiene que aplicar a uno
vanilla, y si uso el corazon del sistema fuera de la distro.....
- RSBAC no aparece ni como parches.... y llega al nivel B1 del libro naranja
con lo cuál es el ideal en el universo MAC para el kernel Linux, pero Debian
ni se lo plantea. ¿Me gustaría saber razones para ello?
- SElinux hace poco tenia un copyright en 'TE' aunque es verdad que ha
expirado. Es promovido por la NSA y RedHAT lo promociona en su distro a mas
no poder.... pero usa LSM desterrando al resto de modelos de seguridad... o
pasan por LSM o no están en el kernel linux... por razones de diseño, por
razones técnicas... y porque LSM es un churro de Linux Torvalds que se ha
dado cuenta al cabo de los años de que nadie lo usa excepto el proyecto
SELinux y se planteaba quitar LSM del kernel... y aplicar el parche SELinux
directamente en la línea principal... y entonces que pasa con RSBAC y
compañía... En este sentido no encuentro explicación,,, y me huele a un podo
dictador...
Haber si alguien puede aclararme un poco al respecto??? Mi intención es elevar
el nivel de seguridad que viene por defecto en Debian sin tener que tocar
distros como Adamantix, Centos, etc.... por diversas razones técnicas que
todo aquel que haya probado desplegar conocerá en sus ventajas y desventajas.
Saludos..
Reply to: