Чи надає SELinux достатню додаткову безпеку, щоб бути вартим вивчення / налаштування?

Нещодавно я встановив Fedora 14 на своєму домашньому ПК та працював над налаштуванням різних функцій, пов’язаних із сервером, такими як apache, mysql, ftp, vpn, ssh тощо. Я надзвичайно швидко наткнувся на бар’єр, який відчував, як коли я виявив SELinux, який Я раніше не чув. Провівши деякі дослідження, здавалося, що більшість людей вважають, що слід просто відключити це, а не боротися із клопотами. Особисто, якщо це дійсно додає більшої безпеки, я не проти боротися з головними болями, як навчитися правильно їх налаштовувати. Врешті-решт я планую відкрити свою мережу, щоб цей ПК міг отримати доступ віддалено, але я не хочу це робити до тих пір, поки не буду впевнений, що його безпека (більш-менш). Якщо ви налаштували його і налагодили його функціонування правильно, чи відчуваєте ви, що варто того часу і клопоту? Це справді більш безпечно? Якщо ви відмовилися від використання цього рішення, це було засноване на будь-якому дослідженні, яке варто розглянути і в моїй ситуації?

linux security selinux

— Кеннет
джерело

будь ласка, майте на увазі, що гарний настрій безпеки полягає в тому, що жодна безпека не повинна коштувати дорожче, ніж значення того, що вона захищає. Таким чином, якщо ваш час коштує 50 доларів на годину, а для впровадження SELinux вам знадобиться 8 годин, але для ремонту знадобиться лише середня година, а можливо, заміна пристрою 50 доларів ... вартує витрат на впровадження SELinux. Однак якщо ваші дані незамінні, а не компроміс коштуватиме мільйони, але на реалізацію знадобиться 100 тисяч ... це того варто.

— ксенотеррацид

Відповіді:

SELinux підвищив локальну безпеку за рахунок поліпшення ізоляції між процесами та надання більш тонкої політики безпеки.

Для машин, що користуються багатьма користувачами, це може бути корисним через більш гнучку політику, а це створює більше бар’єрів між користувачами, так що додає захист від зловмисних локальних користувачів.

Для серверів SELinux може зменшити вплив вразливості безпеки на сервері. Якщо зловмисник може отримати місцеві користувацькі або кореневі привілеї, SELinux може дозволити йому відключити лише одну конкретну послугу.

Для типового домашнього використання, де ви будете єдиним користувачем, і ви хочете мати можливість все віддалено після автентифікації, ви не отримаєте жодної безпеки від SELinux.

— Жил "ТАК - перестань бути злим"
джерело

але якщо я планую зробити його сервером, щоб інші могли віддалено входити в систему, використовуючи власні облікові дані, я все-таки можу отримати користь від правильної установки? Це не в найближчих планах, але в кінцевому підсумку може бути ...

— Кеннет

@Kenneth: Чим більше запущених сервісів, і чим більше користувачів у вас, тим більше безпеки може забезпечити SELinux. На відміну від однокористувацької машини з лише ssh, SELinux не корисний. Крім цього, так, це корисно, але це великі інвестиції. Завжди майте на увазі, що погано зрозумілий інструмент безпеки - це відповідальність, тому що ви можете отримати помилкове почуття безпеки, якщо ви переконаєтесь у своїх силах, і є ризик, що ви його неправильно налаштуєте та введете дірку безпеки.

— Жил 'ТАК - перестань бути злим'

@Kenneth - перевага вивчення цього тепер полягає в тому, що якщо вам це потрібно в гніві, ви вже навчилися багато його подій ... і у нього є кілька :-)

— Rory Alsop

SELinux може мати великі переваги для домашнього використання. Більш детально я докладу.

— mattdm

SELinux може робити блискучі речі навіть на одній користувальницькій машині, як-от пісочні програми.

— wzzrd

Проблема SELinux для людей, які не є ІТ, як я, полягає в тому, що він не ідентифікує себе як причину проблем з дозволом - іншими словами, помилки, які ви отримуєте, не відрізняються від інших більш поширених помилок, і SELinux - це останнє місце, на яке ви будете виглядати або на які ви зможете отримати відповіді публічно. Це найгірший тип функції IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

— Джеремі Лейпциг
джерело