Обеспечивает ли SELinux достаточную дополнительную безопасность, чтобы стоить усилий по его изучению / настройке?

17

Я недавно установил Fedora 14 на свой домашний компьютер и работал над настройкой различных функций, связанных с сервером, таких как apache, mysql, ftp, vpn, ssh и т. Д. Я очень быстро столкнулся с барьером, который возник, когда я обнаружил SELinux, который Я раньше не слышал о. После некоторого исследования казалось, что большинство людей считает, что вы должны просто отключить его, а не иметь дело с хлопотами. Лично, если это действительно добавляет больше безопасности, я не против иметь дело с головными болями обучения, как правильно настроить его. В конце концов я планирую открыть свою сеть, чтобы к этому компьютеру можно было получить удаленный доступ, но я не хочу этого делать до тех пор, пока не буду уверен, что она безопасна (более или менее). Если вы настроили и настроили его правильно, чувствуете ли вы, что это стоило времени и хлопот? Это действительно более безопасно? Если вы отказались от его использования, было ли это решение основано на каком-либо исследовании, которое стоит учитывать и в моей ситуации?

linux security selinux Кеннет
источник
2
Пожалуйста, имейте в виду, что хорошее мышление безопасности заключается в том, что ни одна защита не должна стоить дороже, чем ее защита. Таким образом, если ваше время стоит 50 долларов в час, и вам потребуется 8 часов для внедрения SELinux, но для ремонта потребуется всего 1 час, а для замены устройства может быть 50 долларов ... (думает, что маршрутизатор soho) это не так стоит затрат на внедрение SELinux. Однако, если ваши данные незаменимы, и компромисс не обойдется в миллионы, но для его реализации потребуется 100 тыс. ... это того стоит.
ксенотеррацид

Ответы:

10

SELinux улучшил локальную безопасность, улучшив изоляцию между процессами и предоставив более детальные политики безопасности.

Для многопользовательских компьютеров это может быть полезно из-за более гибких политик и повышает барьеры между пользователями, поэтому добавляет защиту от злонамеренных локальных пользователей.

Для серверов SELinux может снизить влияние уязвимости безопасности на сервере. Если злоумышленник может получить права локального пользователя или root, SELinux может разрешить ему отключить только одну конкретную службу.

Для обычного домашнего использования, где вы будете единственным пользователем и захотите иметь возможность удаленно выполнять все операции после проверки подлинности, вы не получите никакой безопасности от SELinux.

Жиль "ТАК - прекрати быть злым"
источник
но если я планирую сделать его сервером, на который другие смогут входить удаленно, используя свои собственные учетные данные, я все равно мог бы выиграть от правильной настройки? Это не в ближайших планах, но в конечном итоге может быть ...
Кеннет
@Kenneth: Чем больше сервисов вы используете, и чем больше у вас пользователей, тем больше безопасности может принести SELinux. В отличие от однопользовательской машины с ssh, SELinux бесполезен. Помимо этого, да, это полезно, но это большие инвестиции. Всегда имейте в виду, что плохо понимаемый инструмент безопасности - это ответственность, потому что вы можете получить ложное чувство безопасности, если будете слишком уверены в своих возможностях, и есть риск, что вы неправильно настроите его и создадите дыру в безопасности.
Жиль "ТАК - перестань быть злым"
1
@Kenneth - преимущество его изучения в том, что если вам оно действительно нужно в гневе, вы уже выучили много его недостатков ... и у них есть несколько :-)
Rory Alsop
1
SELinux может иметь сильные преимущества для домашнего использования. Я уточню позже.
Mattdm
1
SELinux может делать блестящие вещи даже на однопользовательском компьютере, например, приложения для песочницы.
wzzrd
5

Проблема с SELinux для неопытных людей, таких как я, заключается в том, что он не идентифицирует себя как причину проблем с разрешениями - другими словами, ошибки, которые вы получаете, не отличаются от других более распространенных ошибок, и SELinux - это последнее место, куда вы будете искать или за которые вы сможете получить ответы публично. Это худший тип функции IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Джереми Лейпциг
источник