A la hora de montar un servidor uso el kernel genérico que acompaña a la distribución. Configuro los servicios teniendo en cuenta siempre la seguridad tal y como se aconseja en la doc de cada uno de los proyectos(Samba, Apache, etc...).
El caso es que tengo varias dudas: - ¿Debian aplica PIE y SSP a sus aplicaciones? - PAX no está en la línea principal del kernel, pero incluye muchas técnicas interesantes para que Debian lo incluyera, o al menos para que el parche que ofrece Etch estuviera algo más currado, ya que se tiene que aplicar a uno vanilla, y si uso el corazon del sistema fuera de la distro..... - RSBAC no aparece ni como parches.... y llega al nivel B1 del libro naranja con lo cuál es el ideal en el universo MAC para el kernel Linux, pero Debian ni se lo plantea. ¿Me gustaría saber razones para ello? - SElinux hace poco tenia un copyright en 'TE' aunque es verdad que ha expirado. Es promovido por la NSA y RedHAT lo promociona en su distro a mas no poder.... pero usa LSM desterrando al resto de modelos de seguridad... o pasan por LSM o no están en el kernel linux... por razones de diseño, por razones técnicas... y porque LSM es un churro de Linux Torvalds que se ha dado cuenta al cabo de los años de que nadie lo usa excepto el proyecto SELinux y se planteaba quitar LSM del kernel... y aplicar el parche SELinux directamente en la línea principal... y entonces que pasa con RSBAC y compañía... En este sentido no encuentro explicación,,, y me huele a un podo dictador... Haber si alguien puede aclararme un poco al respecto??? Mi intención es elevar el nivel de seguridad que viene por defecto en Debian sin tener que tocar distros como Adamantix, Centos, etc.... por diversas razones técnicas que todo aquel que haya probado desplegar conocerá en sus ventajas y desventajas. Saludos..
