Плохо ли запускать SELinux и AppArmor одновременно?

Моя корпоративная политика гласит, что блоки Linux должны быть защищены с помощью SELinux (чтобы аудитор безопасности мог установить флажок «да, мы чрезвычайно безопасны!» Для каждого сервера). Я надеялся воспользоваться потрясающей по умолчанию безопасностью AppArmor в Ubuntu. Разумно ли запускать и Apparmor, и SELinux? (Если так, может ли эта плохая идея быть смягчена некоторыми изменениями apparmor и / или selinux?)

Ядро Linux предоставляет интерфейс модуля безопасности Linux , в котором SELinux и AppArmor являются реализациями. (Другие включают TOMOYO, Smack, ...) Этот интерфейс в настоящее время предназначен для работы только одного LSM за один раз. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждается, как «составлять» несколько LSM, но это еще не сделано.

Я бы не использовал оба.

SELinux и AppArmor выполняют одну и ту же базовую функцию: ограничивают доступ к файлам и папкам только теми приложениями, которые действительно нуждаются в доступе.

Но оба реализуют эту идею по-разному.

• SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным меткам.
  Например: Apache может использовать только файлы и папки, явно помеченные как веб-файлы, а другие приложения не могут.
• AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.

(Это очень простое объяснение того, как работают SELinux и AppArmor.)

Если бы вы использовали оба, они, вероятно, встали бы на пути друг друга, и я действительно не вижу необходимости или преимущества в использовании обоих.