Я не міг зрозуміти, де використовується SELinux і що рятує від нападника. Я переглянув веб-сайт SELinux і прочитав основний, але все ще не зрозумілий про SELinux. Для системи Linux, яка забезпечує оболонку SSH, передній кінець Apache, веб-додаток на основі ролей, MySQL DB, запам'ятовується, майже всі системи захищені паролем, тоді для чого нам потрібен SELinux?
Відповіді:
Ви можете розглядати SELinux як брандмауер системного виклику . Політика для кожної програми визначає, що розумно робити для програми: Сервер імен може слухати на порту 53, працювати з деякими зонними файлами в певному каталозі, надсилати syslog, .. ., але немає сенсу намагатися працювати з файлами в / home, наприклад. Застосування такої політики SELinux означає, що слабкість сервера імен буде набагато складніше поширюватися на інші частини системи.
Я вважаю, що SELinux забезпечує реальне значення безпеки. Але хоча з часом, безумовно, стало простіше працювати, це, на жаль, все ще досить складна система. Хороша річ у тому, що ви можете легко відключити його для деяких служб, не вимикаючи його для всієї системи. Занадто багато (молодших?) Систематичних поворотів SELinux по всій платі, як тільки вони стикаються з найменшою проблемою з однією службою - замість того, щоб вибірково вимкнути її для послуги, що спричинило проблеми.
man -k selinuxце гарне місце для початку. Як правило, є * _disable_trans sebools, які можна встановити для відключення SELinux для певних служб.
Не всі питання безпеки можна передбачити заздалегідь. Якщо зловмиснику вдасться використати слабкість, наприклад, стороннього модуля httpd, вони мають доступ до тих самих файлів, що і користувач httpd. SELinux надалі обмежує це, обмежуючи їх діями та контекстами файлів, до яких має доступ до їх домену SELinux.
Я думаю, що термін обов'язковий контроль доступу підсумовує це досить непогано. SELinux дає вам більш захищену систему через більш захищене ядро, значною мірою завдяки реалізації MAC.
SELinux добре справляється з викриттям складних умов всієї системи Linux.
Цікавим аспектом безпеки є питання "що це робить?"
Добре, якщо це працює, ви, можливо, ніколи не знаєте. Якщо ви працюєте з веб-сервером, і він нещодавно перебуває в режимі очікування, ви, можливо, не знаєте, пару подвигів були навіть випробувані проти вашої системи.
Щодо приватних компаній, я не знаю. Якщо їм потрібна цілісність, яку SELinux подає до таблиці, тоді вони повинні.
Що стосується уряду, то існують загальнодоступні джерела (перелік урядових проектів тощо), які, схоже, вказують на те, що MAC використовується і можливий досить сильно. Державні системи, залежно від розгортання та інформації, яку має система, повинні відповідати певним критеріям, перш ніж використовуватись.
Врешті-решт безпека - це дійсно управління ризиками та вибір правильного рівня зусиль.
Також безпека - це постійне зусилля, а не те, що ви просто вмикаєте.