Czy SELinux zapewnia wystarczające dodatkowe bezpieczeństwo, aby było warte kłopotów z nauką / konfiguracją?

17

Niedawno zainstalowałem Fedorę 14 na moim komputerze domowym i pracowałem nad konfiguracją różnych funkcji związanych z serwerem, takich jak apache, mysql, ftp, VPN, ssh itp. Bardzo szybko wbiegłem do bariery, którą poczułem, gdy odkryłem SELinux, który Nie słyszałem o tym wcześniej. Po przeprowadzeniu niektórych badań wydawało się, że większość ludzi uważa, że ​​należy po prostu wyłączyć tę funkcję i nie radzić sobie z kłopotami. Osobiście, jeśli to naprawdę zwiększa bezpieczeństwo, nie jestem przeciwny radzeniu sobie z problemami związanymi z nauczeniem się, jak odpowiednio go skonfigurować. W końcu planuję otworzyć moją sieć, aby komputer mógł uzyskać dostęp zdalny, ale nie chcę tego robić, dopóki nie będę pewien, że jest bezpieczny (mniej więcej). Jeśli skonfigurowałeś go i sprawiłeś, aby działał poprawnie, czy uważasz, że był on wart czasu i kłopotów? Czy to naprawdę jest bezpieczniejsze? Jeśli zrezygnowałeś z korzystania z niego, czy ta decyzja była oparta na jakichkolwiek badaniach wartych rozważenia również w mojej sytuacji?

linux security selinux Kenneth
źródło
2
pamiętaj, że dobrym sposobem myślenia o bezpieczeństwie jest to, że żadne bezpieczeństwo nie powinno kosztować więcej niż wartość jego ochrony. Zatem jeśli twój czas jest wart 50 USD na godzinę, a wdrożenie SELinuksa zajmie Ci 8 godzin, ale naprawa zajmie tylko 1 godzinę, a może 50 USD na wymianę urządzenia ... (myślę, że router) warte kosztów wdrożenia SELinux. Jeśli jednak Twoje dane są niezastąpione i żaden kompromis nie kosztowałby milionów, ale wdrożenie zajmie 100 tys. ... warto.
Xenoterracide

Odpowiedzi:

10

SELinux poprawił lokalne bezpieczeństwo, poprawiając izolację między procesami i zapewniając bardziej szczegółowe zasady bezpieczeństwa.

W przypadku komputerów z wieloma użytkownikami może to być przydatne ze względu na bardziej elastyczne zasady i podnosi więcej barier między użytkownikami, dzięki czemu zapewnia ochronę przed złośliwymi użytkownikami lokalnymi.

W przypadku serwerów SELinux może zmniejszyć wpływ luki w zabezpieczeniach na serwerze. Tam, gdzie atakujący może uzyskać lokalne uprawnienia użytkownika lub root, SELinux może pozwolić mu tylko na wyłączenie jednej konkretnej usługi.

Do typowego użytku domowego, w którym będziesz jedynym użytkownikiem i będziesz chciał mieć możliwość zdalnej autoryzacji wszystkiego, nie zyskasz żadnego bezpieczeństwa z SELinux.

Gilles „SO- przestań być zły”
źródło
ale jeśli planuję uczynić go serwerem, do którego inni mogą logować się zdalnie przy użyciu własnych poświadczeń, nadal mogę potencjalnie skorzystać z poprawnej konfiguracji? To nie jest w najbliższych planach, ale ostatecznie może być ...
Kenneth
@Kenneth: Im więcej usług uruchamiasz i im więcej masz użytkowników, tym więcej bezpieczeństwa może zapewnić SELinux. W skrajności pojedynczego komputera z tylko ssh, SELinux nie ma sensu. Poza tym tak, jest to przydatne, ale to duża inwestycja. Zawsze pamiętaj, że źle zrozumiane narzędzie bezpieczeństwa stanowi odpowiedzialność, ponieważ możesz uzyskać fałszywe poczucie bezpieczeństwa, jeśli będziesz zbyt pewny swoich możliwości, a istnieje ryzyko, że źle je skonfigurujesz i wprowadzisz lukę w zabezpieczeniach.
Gilles „SO- przestań być zły”
1
@Kenneth - zaletą uczenia się tego teraz jest to, że jeśli potrzebujesz go w gniewie, już nauczyłeś się wielu jego słabości ... i ma kilka :-)
Rory Alsop
1
SELinux może mieć znaczące zalety do użytku domowego. Rozwiążę później.
mattdm,
1
SELinux potrafi robić świetne rzeczy, nawet na jednym komputerze użytkownika, na przykład w aplikacjach typu sandboxing.
wzzrd
5

Problem z SELinux dla osób nie posiadających IT, takich jak ja, polega na tym, że nie identyfikuje się on jako przyczyna problemów z uprawnieniami - innymi słowy, otrzymywane błędy nie są odróżnialne od innych częstszych błędów, a SELinux jest ostatnim miejscem, w którym będziesz wyglądać lub na które będziesz mógł uzyskać odpowiedzi publicznie. To najgorszy typ funkcji IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Jeremy Leipzig
źródło