[OT] grsecurity Erfahrungen

[cruxnor]

Hi,

mich hätte mal interessiert wie ihr mit grsecurity umgeht. Ich wollte am WE eigentlich das RBAC aktiviert haben, habs dann aber nach langem hinn und her wieder deaktiviert. Ist mir definitiev zu viel Stress! Klar ist der Ansatz genial aber für mich unwartbar!
Von der Theorie her alles zu verbieten und dann erst expliziet User,Dienste, usw. Rechte zu vergeben ist schon toll, jedoch macht des auf einem System, wo viel mit unterschiedlichen Programmen gearbeitet wird keinen Spass!
Unter dem System laufen Daemons von lcdproc über apcupsd bis hinn zu Apache+PHP+MySQL .... sind dann iergendwann ca. 10-15 Dienste die am Systemstart gestartet werden. Die alle perfekt und restriktiv zu Administrieren ist mir definitiev zu viel Aufwand!
Vorallem der Learningmodus ist zwar nicht schlecht, sollte man jedoch nach dem "Lernen" nochmals was an einem Dienst verändern zu wollen muss wieder "gelernt" werden.
Am liebsten wär mir gewesen, dass ich erstmal alles erlaube und danach nur die Dienste die über das Internet erreichbar sind zu beschränken.

Jetzt die große Frage: Wie managed ihr eure grSecurity-Server ?

ciau, cruxnor

[toskala]

so geschlossen wie möglich und so offen wie nötig. ich benutze die meisten features von grsecurity und verwende noch das -fstack-protector cflag. ich denke grade ernsthaft über dieses se-linux erweiterungsteilchen nach.

sicherheit ist eben unbequem...
_________________
adopt an unanswered post
erst denken, dann posten

[cruxnor]

Hi,

dem kann ich mich im Prinzip nur anschließen! Wollte auch alles dicht machen und danach explizit öffnen nur bei der Anzahl von Diensten war/ist es mir im Moment nicht möglich!
SELinux ist eine sehr interessante "Alternative". Leider bietet SELinux keine PaX-Patches o.ä. Daher es ist im Moment einfach nur ein anderes RBAC mit MAC.
Bietet aber keine direkte Sicherheit gegen BO's o.ä.

ciau, cruxnor