Niedawno zainstalowałem Fedorę 14 na moim komputerze domowym i pracowałem nad konfiguracją różnych funkcji związanych z serwerem, takich jak apache, mysql, ftp, VPN, ssh itp. Bardzo szybko wbiegłem do bariery, którą poczułem, gdy odkryłem SELinux, który Nie słyszałem o tym wcześniej. Po przeprowadzeniu niektórych badań wydawało się, że większość ludzi uważa, że należy po prostu wyłączyć tę funkcję i nie radzić sobie z kłopotami. Osobiście, jeśli to naprawdę zwiększa bezpieczeństwo, nie jestem przeciwny radzeniu sobie z problemami związanymi z nauczeniem się, jak odpowiednio go skonfigurować. W końcu planuję otworzyć moją sieć, aby komputer mógł uzyskać dostęp zdalny, ale nie chcę tego robić, dopóki nie będę pewien, że jest bezpieczny (mniej więcej). Jeśli skonfigurowałeś go i sprawiłeś, aby działał poprawnie, czy uważasz, że był on wart czasu i kłopotów? Czy to naprawdę jest bezpieczniejsze? Jeśli zrezygnowałeś z korzystania z niego, czy ta decyzja była oparta na jakichkolwiek badaniach wartych rozważenia również w mojej sytuacji?
17
Odpowiedzi:
SELinux poprawił lokalne bezpieczeństwo, poprawiając izolację między procesami i zapewniając bardziej szczegółowe zasady bezpieczeństwa.
W przypadku komputerów z wieloma użytkownikami może to być przydatne ze względu na bardziej elastyczne zasady i podnosi więcej barier między użytkownikami, dzięki czemu zapewnia ochronę przed złośliwymi użytkownikami lokalnymi.
W przypadku serwerów SELinux może zmniejszyć wpływ luki w zabezpieczeniach na serwerze. Tam, gdzie atakujący może uzyskać lokalne uprawnienia użytkownika lub root, SELinux może pozwolić mu tylko na wyłączenie jednej konkretnej usługi.
Do typowego użytku domowego, w którym będziesz jedynym użytkownikiem i będziesz chciał mieć możliwość zdalnej autoryzacji wszystkiego, nie zyskasz żadnego bezpieczeństwa z SELinux.
źródło
Problem z SELinux dla osób nie posiadających IT, takich jak ja, polega na tym, że nie identyfikuje się on jako przyczyna problemów z uprawnieniami - innymi słowy, otrzymywane błędy nie są odróżnialne od innych częstszych błędów, a SELinux jest ostatnim miejscem, w którym będziesz wyglądać lub na które będziesz mógł uzyskać odpowiedzi publicznie. To najgorszy typ funkcji IMO.
http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html
źródło