PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SERVER: Brauche ich 'grsecurity'?


Qeldroma
26.04.03, 18:53
Hallo,
ich las, das dieses Patch zwar einerseits sehr viel mehr Sicherheit bringt, aber andererseits ganz schön bremsen soll. Ich befasse mich gerade mit einem 24h online-Web-Server, der nicht der kräftigste ist, also ist das für mich nicht ganz unwesentlich (HP intel810 - celeron 500 - 64 MB).
Außerdem sollen ja je nach Sicherheitsstufe dann einige Programme nicht mehr richtig laufen. Welche denn so? Ich hab da drauf 'nen Apache1.xxx, SSH, Webmin und jede Menge Konsolentools, achja, ist LM9.1...

Könnt ihr mir ein paar Entscheidungstipps geben und vielleicht auch, welche der Sicherheitsstufen ich dann wählen sollte wenn ja, oder ob sogar 'benutzerdefiniert'?

-------------------

Bitte keine englischen Links, da ich mit Fach-English in einem Bereich (grsecurity) von dem ich eh nicht viel verstehe, nix anfangen kann. Auch Links zur Konfiguration kann ich nicht wirklich brauchen, da ich eine Entscheidung treffen will. Nehmt's mir nicht übel, das ich dies schreibe, will nur gezieltere Antworten ;)

Ich war natürlich auf grsecurity.net.
joey.brunner
27.04.03, 12:22
nein den brauchst du nicht. ich bin davon nicht begeistert, weil die performance stark in den keller geht und du alles, was dieser patch macht, auch mit anderen performanteren patches machen kannst.

joey
bernie
27.04.03, 12:30
Hi,

aus dem FAQ-Bereich von trusteddebian:


Why don't you use gr-security?

You can compare gr-security TPE (Trusted Path Execution) and ACLs (Access Control List) to RSBAC as you can compare a bicycle to a car. In other words, RSBAC offers much more power and functionality than gr-security. The parts of gr-security which do not deal with TPE and ACLs (and I am talking about the non-executable data stuff and the IP randomization stuff) are also available as seperate patches. The non-executable data stuff which is available in gr-security is also available in the Trusted Debian kernel. And the IP-randomization stuff is on the to-do list. So in other words, gr-security does not offer anything which is not already available in the Trusted Debian kernel or is planned to be available in the future.

über RSBAC gibts dort auch ein paar Infos:
http://www.trusteddebian.org/rsbac.html

Ciao, Bernie
Qeldroma
27.04.03, 14:33
Danke. Werde es weglassen ;-)