難易度
複雑さのために、役割システム(RBAC / SELinux)をまだ構成していません。 おそらく、それは明らかなことであり、実際のところすべてがシンプルでもありますが、私は知りません... :)私は結局のところ、主にプログラマーであり、管理するのに十分な時間は常にありません。 一般に、多くの時間と注意を必要とするHardenedで複雑なものがある場合、これはロールを設定します。
しかし、前に説明したものはすべて、非常に簡単かつ迅速に1回構成され、システムセキュリティの強化という形でかなり強力な効果をもたらします!
安定性
長年にわたって、自宅でワークステーションとすべてのサーバーの両方で、説明された形式でHardenedを使用してきました。 この間、Hardenedによる作業の安定性に問題はなく、このトピックに関するメーリングリストへの苦情は見られませんでした。
Gentooビルドの安定性に関して、パッケージは常に更新およびコンパイルされます。 数年前、いくつかの回避策を使用する必要がありました-たとえば、XWindowがATI woodで動作するためには、非強化gccを収集する必要がありました(パッケージのコンパイル中のgccの自動切り替えのために、簡単なスクリプトが作成されました)。 さて、ささいなことでも問題が発生しましたが、単一の重大な問題ではありません。 現在、この種の問題は原則としてありません。 つまり システムをHardenedに移行しましたが、忘れてしまいました-何も起こらなかったようにすべてを続けることができます。 サーバーをハッキングするだけで、はるかに困難になりました。 :)
機能性
はい、一部のパッケージが機能するためには、chpax / paxctlユーティリティを使用して特定のアプリケーションの強化された保護の一部を無効にする必要があります。
しかし、Gentooでは、この操作は長い間自動化されています。これらのアプリケーションでは、パッケージのインストール段階でchpax / paxctlが実行されます。 心配する必要はもうありません。
そして、このニュアンス(一部のアプリケーションでは保護の一部が無効になっている)を除き、すべてのアプリケーションは問題なくHardened Gentooで動作します(少なくとも前の部分で紹介したカーネル設定では)。
性能
正直なところ、私自身は測定しませんでした。 はい、何をどのように測定するかは完全には明らかではありません。 私がインターネットから理解しているように、最悪の場合は最大3〜4%のパフォーマンス低下が予想されますが、通常は1パーセント未満です。
しかし、再び、どの「機能」を含めるかによって異なります。 SeLinuxまたはRBACを削除すると、これらの3〜4%を失う可能性がありますが、私はまだそれらの設定に到達していません。 :(
視覚的に-Hardenedに切り替えた後、ホームマシンでもサーバーでも違いはありません。
もちろん、-O2への切り替えにより、おそらく一部のパフォーマンスが失われました。
また、これら2つのカーネルを構成するときに「間違った」オプションを選択すると、
[ ] Paging based non-executable pages
[*] Segmentation based non-executable pages
顕著なブレーキ。 カーネルには最初のオプションがまったく表示されません(一部の種類のプロセッサでは速度が低下するのが好きでした)。
結論
一般に、ハードニングへの切り替えに数時間を費やし、1日のマシン時間(システムが完全に再構築されるまで)を費やすことで、マシンの安全性を大幅に向上させることができます。
「自分で考え、自分で決める-持っているか持っていないか」:)
スタート。 第二部。 第三部。