Переход на hardened GCC

Итак принесли мне сервер, P3-1Ghz два винта, 512 памяти.
Там стояла старенькая FreeBSD, решил попробовать поставить Gentoo :-)

Успешно сделал RAID1 и поверх него LVM2 том (туда все кроме boot, root & swap). Система успешно загрузилась с раида - так что с этим разобрались. Оказалось ненамного сложнее обычной установки, что приятно.

Слышал про Hardened Gentoo но из всего перечисленного меня заинтересовал Hardened GCC - как я понял buffer overflow атаки с ним не страшны.

Хочется

1. Пока система только установлена поставить такой вариант GCC
2. Пересобрать с ней мир (это я примерно знаю - emerge -eU world)

Вопросы

1. Как проще всего поставить Hardened GCC (профиль какой переключить или USE-флаг какой)
2. Не грозит ли это проблемами с софтом в будущем - софт планируется типичный для Web-сервера т.е. Apache+PHP+MySQL+ProFtpd ну и Qmail+VPOPMail+SpamAssasin+ClamAV плюс видимо самба (само сабой iptables)
3. Что еще имеет смысл использовать для усиления безопасности, но с малыми затратами времени. Я всегда использовал FreeBSD и обходился штатными средствами, но в генту много интересного :-)

Hardened GCC

Hardened GCC штука хорошая, но немного влияет на производительность в худшую сторону, но не существенно. Если ничего из Hardened Gentoo вас не заинтересовало (что странно) то попробуйте, просто различные патчи к ядру (например grsecurity), поставьте IDS, и, это конечно личное дело каждого, но IMHO вместо ProFTPd лучше юзать vsftpd.

Я понимаю что

Я понимаю что влияет на производительность, но там это не слишком существенно.

Все-же как проще всего и безболезненно перейти на использование Hardened GCC - помогите конкретными советами, плиз.

Насчет того, что ничего не заинтересовало из всего проекта Hardened Gentoo - так это думаю вопрос времени просто, я просто не понял что дают эти фичи конкретно в моем случае, а именно - "корпоративный Web-сервер для десятка сайтов и почта". Если кто доступно скажет, буду только рад. В мире Linux я зеленый новичок, в основном с FreeBSD работаю :-)

Насчет FTP сервера вопрос не принципиальный, он нужен только для доступа к home директориям юзеров виртуальных серверов.

Еще, советую

Еще, советую прочитать статью "Возможна ли жизнь без Apache" ( ftp://ftp.altlinux.ru/pub/people/tvb/chip-linux/03_2005/all_03_05.pdf ) , в ней автор приводит довольно убедительные доводы того, что Apache не смотря на свою популярность, не лишен некоторых недостатков. Возможно, если нет зависимости от конкретных приложений, вы сможете использовать что-то из предложеного автором. Я в этом убедился на личном опыте.

Чтобы включить

Чтобы включить "hardended", в use флагах пропишите "hardend". И пересобирите систему.
А что делает Ваш сервер? Там действительно нужна максимальная безопасность?

P.S. Если Вы делаете шлюз, то не изобретайте велосипед. Воспользуйтесь вистрибутивом ipcop (ipcop.org) поставьте нужные плагины и смело выставляйте в сеть. Изучая ipcop, я увидел, что ребята, сделавшие этот дистрибутив знают о безопасности куда больше, чем я.
Пусть он оптимизирован под i486, зато он очень надежен.

Плиз, давайте

Плиз, давайте по теме

Я же писал уже - это Web-сервер общего назначения. Что-то вроде виртуального хостинга для проектов одной компании.

Могут установить потом что угодно (например поисковую машину наподобии mnogoSearch).

Поэтому хочу заранее собрать hardened ядро и использовать hardened-gcc, просто чтобы от банальных дыр быть застрахованным.

Потом будем изучать grsecurity.

Насчет установки сделал линк на hardened профиль, пересобираю toolchain, потом планирую переключить gcc на hardened версию и поставить ядро из hardened-sources c включенным PaX.

Быть может побалуюсь с grsecurity, пока не осознал какие возможности у него.

Почитал вообще пор PaX - впечатлен, под FreeBSD такого нет :-)

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".