Я не мог понять, где использовался SELinux и что он спасает от злоумышленника. Я просмотрел веб-сайт SELinux и прочел основную информацию, но до сих пор не понял, что такое SELinux. Для системы Linux, которая предоставляет оболочку SSH, интерфейс Apache, веб-приложение на основе ролей, MySQL DB, memcached, почти все системы защищены паролем, тогда зачем нам SELinux?
Ответы:
Вы можете рассматривать SELinux как брандмауэр системного вызова : политика для каждого приложения определяет, что для приложения разумно: сервер имен может прослушивать порт 53, работать с некоторыми файлами зон в определенном каталоге, отправлять системный журнал, .. ., но нет смысла пытаться работать с файлами в / home, например. Принятие SELinux такой политики означает, что слабости сервера имен будет намного сложнее распространить на другие части системы.
Я считаю, что SELinux обеспечивает реальную ценность безопасности. Но хотя с годами стало легче работать, к сожалению, это все еще довольно сложная система. Хорошо, что вы можете легко отключить его для некоторых служб, не отключая его для всей системы. Слишком много (младших?) Системных администраторов поворачивают SELinux по всем направлениям, как только они сталкиваются с малейшей проблемой с одним сервисом - вместо того, чтобы выборочно отключать его для сервиса, вызывающего проблемы.
man -k selinuxэто хорошее место для начала. Как правило, существуют * _disable_trans sebools, которые можно настроить для отключения SELinux на определенных сервисах.
Не все проблемы безопасности могут быть предсказаны заранее. Если злоумышленнику удастся воспользоваться уязвимостью, например, в стороннем модуле httpd, он получит доступ к тем же файлам, что и пользователь httpd. SELinux также ограничивает это, ограничивая их действиями и контекстами файлов, к которым имеет доступ их домен SELinux.
Я думаю, что термин « Обязательный контроль доступа» подводит итог. SELinux дает вам более безопасную систему благодаря более защищенному ядру, во многом благодаря реализации MAC.
SELinux хорошо показывает всю сложность системы Linux.
Интересным аспектом безопасности является вопрос "что он делает?"
Ну, если это работает, вы, возможно, никогда не узнаете. Если вы используете веб-сервер, и он только что заработал, то вы, возможно, не знаете, что пара эксплойтов была даже опробована в вашей системе.
Что касается частных компаний, я не знаю. Если им нужна целостность, которую SELinux вносит в таблицу, тогда они должны.
Что касается правительства, то есть публичные источники (список государственных проектов и т. П.), Которые, кажется, указывают на то, что MAC используется, и, возможно, довольно активно. Правительственные системы, в зависимости от развертывания и того, какая информация хранится в системе, должны соответствовать определенным критериям перед использованием.
В конце концов, безопасность - это управление рисками и выбор правильного уровня усилий.
Также безопасность - это постоянное усилие, а не то, что вы просто включаете.