Sto lavorando con una rete aziendale con dati sensibili e non sono sicuro se dovrei usare SELinux o un antivirus per server, terminali POS e macchine desktop.
Ho bisogno di sapere qual è la differenza tra SELinux e l'antivirus, la funzionalità in selinux che è migliore dell'antivirus, le funzionalità incorporate e se può sostituire un programma antivirus
Risposta rapida:
SELinux è un modulo di sicurezza che fornisce elenchi di accesso e molte altre funzionalità. Non ho familiarità con i dettagli di questo strumento. Speriamo che un altro rispondente ti possa aiutare.
Poiché SELinux si concentra maggiormente sul controllo degli accessi, sarebbe un modo efficace per limitare l'accesso degli utenti e qualsiasi potenziale attacco sull'account dell'utente. Tale sistema di controllo degli accessi è molto diverso da Anti-Virus.
Anti-Virus è uno strumento di "scansione dei file" che controlla la presenza di malware noti in un database regolarmente aggiornato. Sfortunatamente il database potrebbe non essere completo e il malware su piccola scala non verrà rilevato.
Anti-Virus è uno strumento semplice da installare ma con effetti limitati. Può essere usato per rilevare gli attacchi (di solito dopo che l'attacco ha avuto successo), o per cercare di rimuovere il malware dopo che il computer è 'infetto'. Sfortunatamente, alcuni malware non sono nel database e potrebbero rimanere, quindi se sei infetto devi Nuke From Orbit. (cancella e reinstalla il sistema operativo)
A volte il malware è contenuto in un account utente% nonroot, nel qual caso dovrebbe essere sufficiente pulire quell'account. Tuttavia, questo funziona solo se sei sicuro che il virus non avrebbe potuto ottenere l'accesso root dopo l'attacco iniziale.
È possibile che SELinux dia maggiore flessibilità a% nonroot account? Ciò ti aiuterà a evitare l'uso di un account root per le applicazioni.
Dovresti usare SELinux o un antivirus? Sì. SELinux e un antivirus eseguono attività complementari, quindi l'utilizzo di entrambi è preferibile all'utilizzo dell'uno o dell'altro.
Un antivirus è uno strumento per trovare le minacce conosciute. Può guardare un file e dire "questo è un virus", ma non può guardarlo e dire "questo non è un virus" - il file potrebbe contenere una minaccia sconosciuta in precedenza.
SELinux è un sistema di autorizzazione a grana fine. Può fare cose come imporre una regola di "il web sever non può scrivere nelle directory al di fuori dell'area di archiviazione dedicata" - questo limita notevolmente il danno che un attacco può fare, ma non fa nulla per impedirti di eseguire un programma infetto in primo luogo .
I due lavorano insieme: l'antivirus blocca le minacce conosciute, ma non può gestire minacce sconosciute, mentre SELinux limita ciò che una minaccia sconosciuta può fare, ma non riconoscerebbe una minaccia se la mordesse.
Entrambi SeLinux & Anti-virus / cacciatori di rootkit dovrebbero essere usati.
SeLinux è uno strumento per tenere sotto controllo gli utenti e i servizi attraverso l'uso di profili. Pensa ad un firewall del file system perché quando impropriamente sono configurati come ugualmente inutili. Se impostato correttamente, può causare calvizie precoce in utenti malintenzionati che si concentrano su tali cose.
Il software antivirus generalmente protegge solo dal codice eseguibile localmente conosciuto e nonpolymorphic . E non riuscirà a proteggere dalle vite del software in memoria o dal software che tocca i propri bit come quelli compilati con movfuscator progettati intenzionalmente non solo per sconfiggere l'antivirus, ma anche per il reverse engineering di strumenti di analisi del malware. In altre parole, l'antivirus protegge solo da "script kidies" e dai loro simili.
Per i server di produzione suggerirei qualcosa per la sicurezza dei tuoi kernel (l'unico strumento attualmente conosciuto per mitigare i alcuni moduli di exploit di 0 giorni) oltre a quelli sopra menzionati; guarda la patch del kernel GrSecurity e gli amici di controllo PaX. Attenzione questo è il più alto suggerimento di difficoltà elencato in questo post, tuttavia, è anche un dolore nel sedere per attaccare i sistemi con questo livello di sicurezza. Quindi sicuramente controlla.
Per qualsiasi server remoto, qualche forma di sistema di rilevamento delle intrusioni (IDS) come tripwire deve essere installato prima di consentire l'accesso ad altri utenti. E per i server costantemente in rete, anche tu dovresti prendere in considerazione la creazione di una casella snort per monitorare il traffico di rete.
Per la separazione dei processi degli utenti ho scoperto che firejail è compatibile con i suggerimenti sopra elencati e quando l'installazione fornisce correttamente un costo generale inferiore e molto elenco delle dipendenze più piccolo da tenere aggiornato rispetto ad altre opzioni di sandboxing / virtualizzazione sul mercato che offrono livelli di controllo simili.
Tutto ciò che viene detto se qualcuno vuole far apparire la tua casella e ha tempo, risorse e amp; sufficiente; accesso, quindi, la tua casella alla fine verrà spuntata. Incoraggia quindi i tuoi clienti / utenti a rendere prioritaria la crittografia e i backup off-site. Questi ultimi livelli di sicurezza sono un po 'più difficili da implementare su un server multiutente, quindi l'opzione experimental che lascerò per te è uno strumento che sto scrivendo per la crittografia asimmetrica del registro di accesso al server Paranoid_Pipes uno script bash che consente ai server remoti di scrivere log che non saranno mai in grado di leggere di nuovo in chiaro.
Un'opzione simile all'ultima elencata ma non consigliabile per questa domanda a causa della clausola "intimazione sensibile" sarebbe il file system dal link ma, poiché gestisci materiale privato, sarebbe meglio se ti togliessi dall'archiviazione di terze parti, indipendentemente dallo stato crittografato e preforma la crittografia e il backup locali su canali protetti come sshfs mounts.