Xtreme (Español)
Contents
1 Detalles generales
El paquete linux-libre-xtreme es un kernel con todos los Módulos de Seguridad de Linux habilitados: AppArmor, TOMOYO, SMACK, SELinux, y YAMA, más parches de seguridad (hardened). Su objetivo es brindar la máxima (o incluso más: extrema) seguridad a lo que Grsecurity+Knock fue en el pasado. También hay planes para incluir parches Knock en este kernel.
Estan oficialmente disponible en el repositorio kernels para las arquitecturas x86_64, i686 y ARMv7h.
2 Proyectos de seguridad
2.1 Linux Hardened
De la wiki de Linux Hardened:
- Nuestros objetivos son:
- * Fomentar y facilitar el desarrollo de código abierto de las características de seguridad para el kernel de Linux.
- * Seguir el progreso del trabajo de desarrollo.
- * Mantener un conjunto de parches para las características de seguridad que aún no se han fusionado con la línea principal.
- * Seguir siendo independiente de la distribución. Queremos centrarnos en los parches que afectan a Linux directamente.
- * Trabajar con el KSPP.
El proyecto Linux-hardened trabaja junto con el Kernel Self Protection Project, un proyecto que comienza con la premisa de que los errores kernel tienen una vida útil muy larga, y que el kernel debe diseñarse de forma que proteja contra estos defectos. Su comunidad ya ha encontrado y reparado errores individuales mediante comprobadores estáticos (indicadores de compilación, smatch, coccinelle, coverity) y comprobadores dinámicos (kernel configs, trinity, KASan).
2.2 AppArmor
De Wikipedia:
- AppArmor ("Application Armor") es un módulo de seguridad del kernel de Linux que permite al administrador del sistema restringir las capacidades de los programas con perfiles por programa. Los perfiles pueden permitir capacidades como el acceso a la red, el acceso sin formato al socket y el permiso para leer, escribir o ejecutar archivos en rutas coincidentes. AppArmor complementa el modelo tradicional de control de acceso discrecional (DAC) de Unix al proporcionar control de acceso obligatorio (MAC). Se incluyó en el núcleo principal de Linux desde la versión 2.6.36 y su desarrollo ha sido respaldado por Canonical desde 2009.
AppArmor es un sistema de seguridad de aplicaciones de Linux efectivo y fácil de usar. AppArmor protege proactivamente el sistema operativo y las aplicaciones contra amenazas externas o internas, incluso ataques zero-day, al imponer un buen comportamiento y evitar que se exploten incluso fallas de aplicaciones desconocidas. Las políticas de seguridad de AppArmor definen por completo a qué recursos del sistema pueden acceder las aplicaciones individuales y con qué privilegios. Una serie de políticas predeterminadas se incluyen con AppArmor, y utilizando una combinación de análisis estático avanzado y herramientas basadas en el aprendizaje, las políticas de AppArmor para incluso aplicaciones muy complejas se pueden implementar con éxito en cuestión de horas. (fuente)
2.3 TOMOYO
De la página de inicio de TOMOYO:
- TOMOYO Linux es una implementación de control de acceso obligatorio (MAC) para Linux que se puede usar para aumentar la seguridad de un sistema, al tiempo que es útil simplemente como una herramienta de análisis del sistema. Fue lanzado en marzo de 2003 y había sido patrocinado por NTT DATA Corporation, Japón, hasta marzo de 2012.
El proyecto de Tomoyo Linux comenzó como un parche para que el kernel de Linux proporcionara MAC. La migración de Tomoyo Linux al núcleo principal de Linux requería la introducción de enganches en el LSM que se habían diseñado y desarrollado específicamente para admitir SELinux y su enfoque basado en etiquetas. (fuente)
2.4 SMACK
Del sitio web de SMACK:
- Smack es el núcleo de control de acceso obligatorio simplificado. Smack es una implementación basada en kernel de control de acceso obligatorio que incluye simplicidad en sus objetivos de diseño primarios.
Smack es un módulo de seguridad del kernel Linux que protege los datos y procesa la interacción de la manipulación maliciosa mediante un conjunto de reglas de control de acceso obligatorio (MAC) personalizadas, con la simplicidad como su principal objetivo de diseño. Se ha fusionado oficialmente desde la versión de Linux 2.6.25. (fuente)
2.5 SELinux
Desde la página de inicio de SELinux:
- SELinux es una mejora de seguridad para Linux que permite a los usuarios y administradores un mayor control sobre el control de acceso.
- El acceso puede estar limitado a variables tales como qué usuarios y aplicaciones pueden acceder a qué recursos. Estos recursos pueden tomar la forma de archivos. Los controles de acceso a Linux estándar, como los permisos de archivo (-rwxr-xr-x) son modificables por el usuario y las aplicaciones que ejecuta el usuario. Por el contrario, los controles de acceso de SELinux están determinados por una política cargada en el sistema que no puede ser modificada por usuarios descuidados o aplicaciones que se portan mal.
NSA Security-Enhanced Linux es un conjunto de parches para el kernel Linux y las utilidades para proporcionar una arquitectura de control de acceso (MAC) fuerte, flexible y obligatoria en los principales subsistemas del kernel. Proporciona un mecanismo mejorado para imponer la separación de información basada en requisitos de confidencialidad e integridad, lo que permite abordar las amenazas de alteración y anulación de los mecanismos de seguridad de la aplicación y permite el confinamiento de daños que pueden ser causados por aplicaciones maliciosas o defectuosas. Incluye un conjunto de archivos de configuración de políticas de seguridad de muestra diseñados para cumplir objetivos de seguridad comunes y de propósito general.
2.6 YAMA
Del sitio web kernel.org:
- Yama es un Módulo de seguridad de Linux que recopila protecciones de seguridad de DAC en todo el sistema que no son manejadas por el propio kernel. Esto se puede seleccionar en tiempo de compilación con CONFIG_SECURITY_YAMA, y se puede controlar en tiempo de ejecución a través de sysctls en /proc/sys/kernel/yama
El Módulo de Seguridad de Linux Yama recopila mejoras de seguridad de DAC (específicamente solo restricciones de seguimiento) que han existido en diversas formas a lo largo de los años y que se han llevado fuera del núcleo principal por otros derivados del kernel de Linux como Openwall y grsecurity.
3 Paquetes adicionales
Puede instalar apparmor desde el repositorio [pcr] para configurar MAC para aplicaciones individuales a través de perfiles, y también instalar apparmor-openrc en el caso de que use el sistema de inicio OpenRC.
