Плохо ли запускать SELinux и AppArmor одновременно?


27

Моя корпоративная политика гласит, что блоки Linux должны быть защищены с помощью SELinux (чтобы аудитор безопасности мог установить флажок «да, мы чрезвычайно безопасны!» Для каждого сервера). Я надеялся воспользоваться потрясающей по умолчанию безопасностью AppArmor в Ubuntu. Разумно ли запускать и Apparmor, и SELinux? (Если так, может ли эта плохая идея быть смягчена некоторыми изменениями apparmor и / или selinux?)

Ответы:


26

Ядро Linux предоставляет интерфейс модуля безопасности Linux , в котором SELinux и AppArmor являются реализациями. (Другие включают TOMOYO, Smack, ...) Этот интерфейс в настоящее время предназначен для работы только одного LSM за один раз. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждается, как «составлять» несколько LSM, но это еще не сделано.


6
SELinux и AppArmor не являются реализациями интерфейса модуля безопасности Linux (LSM). Они являются потребителями интерфейса LSM.
ruief

17

Я бы не использовал оба.

SELinux и AppArmor выполняют одну и ту же базовую функцию: ограничивают доступ к файлам и папкам только теми приложениями, которые действительно нуждаются в доступе.

Но оба реализуют эту идею по-разному.

  • SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным меткам.
    Например: Apache может использовать только файлы и папки, явно помеченные как веб-файлы, а другие приложения не могут.
  • AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.

(Это очень простое объяснение того, как работают SELinux и AppArmor.)

Если бы вы использовали оба, они, вероятно, встали бы на пути друг друга, и я действительно не вижу необходимости или преимущества в использовании обоих.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.