Переход на hardened GCC
Итак принесли мне сервер, P3-1Ghz два винта, 512 памяти.
Там стояла старенькая FreeBSD, решил попробовать поставить Gentoo :-)
Успешно сделал RAID1 и поверх него LVM2 том (туда все кроме boot, root & swap). Система успешно загрузилась с раида - так что с этим разобрались. Оказалось ненамного сложнее обычной установки, что приятно.
Слышал про Hardened Gentoo но из всего перечисленного меня заинтересовал Hardened GCC - как я понял buffer overflow атаки с ним не страшны.
Хочется
1. Пока система только установлена поставить такой вариант GCC
2. Пересобрать с ней мир (это я примерно знаю - emerge -eU world)
Вопросы
1. Как проще всего поставить Hardened GCC (профиль какой переключить или USE-флаг какой)
2. Не грозит ли это проблемами с софтом в будущем - софт планируется типичный для Web-сервера т.е. Apache+PHP+MySQL+ProFtpd ну и Qmail+VPOPMail+SpamAssasin+ClamAV плюс видимо самба (само сабой iptables)
3. Что еще имеет смысл использовать для усиления безопасности, но с малыми затратами времени. Я всегда использовал FreeBSD и обходился штатными средствами, но в генту много интересного :-)
- Для комментирования войдите или зарегистрируйтесь
Hardened GCC
Hardened GCC штука хорошая, но немного влияет на производительность в худшую сторону, но не существенно. Если ничего из Hardened Gentoo вас не заинтересовало (что странно) то попробуйте, просто различные патчи к ядру (например grsecurity), поставьте IDS, и, это конечно личное дело каждого, но IMHO вместо ProFTPd лучше юзать vsftpd.
Я понимаю что
Я понимаю что влияет на производительность, но там это не слишком существенно.
Все-же как проще всего и безболезненно перейти на использование Hardened GCC - помогите конкретными советами, плиз.
Насчет того, что ничего не заинтересовало из всего проекта Hardened Gentoo - так это думаю вопрос времени просто, я просто не понял что дают эти фичи конкретно в моем случае, а именно - "корпоративный Web-сервер для десятка сайтов и почта". Если кто доступно скажет, буду только рад. В мире Linux я зеленый новичок, в основном с FreeBSD работаю :-)
Насчет FTP сервера вопрос не принципиальный, он нужен только для доступа к home директориям юзеров виртуальных серверов.
Еще, советую
Еще, советую прочитать статью "Возможна ли жизнь без Apache" ( ftp://ftp.altlinux.ru/pub/people/tvb/chip-linux/03_2005/all_03_05.pdf ) , в ней автор приводит довольно убедительные доводы того, что Apache не смотря на свою популярность, не лишен некоторых недостатков. Возможно, если нет зависимости от конкретных приложений, вы сможете использовать что-то из предложеного автором. Я в этом убедился на личном опыте.
Чтобы включить
Чтобы включить "hardended", в use флагах пропишите "hardend". И пересобирите систему.
А что делает Ваш сервер? Там действительно нужна максимальная безопасность?
P.S. Если Вы делаете шлюз, то не изобретайте велосипед. Воспользуйтесь вистрибутивом ipcop (ipcop.org) поставьте нужные плагины и смело выставляйте в сеть. Изучая ipcop, я увидел, что ребята, сделавшие этот дистрибутив знают о безопасности куда больше, чем я.
Пусть он оптимизирован под i486, зато он очень надежен.
Плиз, давайте
Плиз, давайте по теме
Я же писал уже - это Web-сервер общего назначения. Что-то вроде виртуального хостинга для проектов одной компании.
Могут установить потом что угодно (например поисковую машину наподобии mnogoSearch).
Поэтому хочу заранее собрать hardened ядро и использовать hardened-gcc, просто чтобы от банальных дыр быть застрахованным.
Потом будем изучать grsecurity.
Насчет установки сделал линк на hardened профиль, пересобираю toolchain, потом планирую переключить gcc на hardened версию и поставить ядро из hardened-sources c включенным PaX.
Быть может побалуюсь с grsecurity, пока не осознал какие возможности у него.
Почитал вообще пор PaX - впечатлен, под FreeBSD такого нет :-)