Це погана ідея одночасно запускати SELinux і AppArmor?

У моїй корпоративній політиці зазначено, що поля Linux повинні бути захищені SELinux (щоб аудитор безпеки міг встановити прапорець "так, ми надзвичайно безпечні!" Для кожного сервера). Я сподівався скористатися дивовижною безпекою AppArmor за замовчуванням Ubuntu. Нерозумно запускати і Apparmor, і SELinux? (Якщо так, то чи можна цю погану ідею пом'якшити за допомогою деякого припливу та / або налаштування selinux?)

Ядро Linux забезпечує інтерфейс модуля безпеки Linux , реалізацією якого є SELinux та AppArmor. (Інші включають TOMOYO, Smack, ...) Цей інтерфейс розроблений на даний момент, щоб дозволити одночасно працювати однією LSM. Немає можливості запустити два одночасно, тому ви повинні вибрати один. Час від часу обговорювались питання про те, як "скласти" кілька LSM, але цього ще не було зроблено.

Я б не використовував обох.

І SELinux, і AppArmor роблять одне і те ж основне: обмеження доступу до файлів і папок лише тим програмам, яким дійсно потрібен доступ.

Але обидві реалізують цю ідею дуже різними способами.

• SELinux приєднує мітку до кожного файлу вашої файлової системи та обмежує доступ програми до певних міток.
  Наприклад: Apache може використовувати лише файли та папки, явно позначені як веб-файли, а інші програми не можуть.
• AppArmor виконує те саме, не використовуючи мітки, він просто використовує шляхи до файлів.

(Це дуже принципове пояснення того, як працюють SELinux і AppArmor.)

Якби ви використовували обидва, вони, ймовірно, отримували б один одного, і я дійсно не бачу потреби та переваги в використанні обох.