SELinux'un nerede kullanıldığı ve saldırgandan ne kurtardığı hakkında pek bir fikrim yoktu. Ben SELinux web sitesinden geçti ve temel okumak ama hala SELinux hakkında ipucu alamadım. SSH kabuğu, Apache ön uç, rol tabanlı web uygulaması, MySQL DB, memcached sağlayan Linux sistemi için hemen hemen tüm sistemler şifre korumalıdır, o zaman neden SELinux'a ihtiyacımız var?
Yanıtlar:
SELinux'u sistem çağrısı güvenlik duvarı olarak görüntüleyebilirsiniz : Her uygulama için bir ilke, uygulamanın yapması için makul olanı belirtir: Ad sunucusu 53 numaralı bağlantı noktasını dinleyebilir, belirli bir dizindeki bazı bölge dosyalarıyla çalışabilir, syslog gönderebilir. ., ancak örneğin, / home içindeki dosyalarla çalışmayı denemek anlamsızdır. SELinux'un böyle bir politikanın uygulanması, ad sunucusundaki zayıflığın sistemin diğer bölümlerine yayılmasının çok daha zor olacağı anlamına gelir.
SELinux'un gerçek güvenlik değeri sağladığını görüyorum. Ancak yıllar içinde çalışmak kesinlikle daha kolay olsa da, ne yazık ki hala oldukça karmaşık bir sistemdir. İyi olan şey, tüm hizmetler için kapatmak zorunda kalmadan, bazı hizmetler için kolayca kapatabilirsiniz. Çok fazla (junior?) Sistem yöneticisi SELinux'u tek bir hizmetle en ufak bir problemle karşılaşır karşılaşmaz çevirir - sorunlu olarak hizmet için seçici olarak kapatmak yerine.
man -k selinuxbaşlamak için iyi bir yerdir. Genellikle, belirli hizmetlerde SELinux'u devre dışı bırakacak şekilde ayarlanabilen * _disable_trans sebools vardır.
Tüm güvenlik sorunları önceden tahmin edilemez. Saldırgan, örneğin bir üçüncü taraf httpd modülündeki bir zayıflıktan yararlanmayı başarırsa, httpd kullanıcısının yaptığıyla aynı dosyalara erişebilir. SELinux, bunları SELinux alanlarının erişebileceği eylemler ve dosya bağlamlarıyla sınırlandırarak kısıtlar.
Zorunlu Erişim Kontrolü terimi bunu oldukça iyi özetliyor. SELinux, büyük ölçüde MAC uygulaması nedeniyle size daha güvenli bir çekirdek aracılığıyla daha güvenli bir sistem sunar.
SELinux , tüm Linux sisteminin karmaşıklığını ortaya çıkarmak için iyi bir iş çıkarır.
Güvenliğin ilginç bir yönü “ne yapıyor?” Sorusudur.
Eğer çalışıyorsa, hiç bilmiyor olabilirsiniz. Bir web sunucusu çalıştırıyorsanız ve sadece kalıyorsa, sisteminize karşı birkaç istismar bile denendiğini bilmiyor olabilirsiniz.
Özel şirketlere gelince, bilmiyorum. SELinux'un masaya getirdiği bütünlüğe ihtiyaçları varsa, o zaman yapmalıdırlar.
Hükümete gelince, MAC'ın kullanıldığını ve oldukça ağır olabileceğini gösteren kamu kaynakları (hükümet projelerinin ve benzerlerinin listelenmesi) vardır. Devlet sistemleri, konuşlandırmaya ve bir sistemin sahip olduğu bilgilere bağlı olarak, kullanılmadan önce belirli kriterleri karşılamalıdır.
Sonunda güvenlik gerçekten risk yönetimi ve doğru çaba düzeyini seçmektir.
Ayrıca güvenlik, yalnızca açtığınız bir şey değil, devam eden bir çabadır.