SELinux ve AppArmor'u aynı anda çalıştırmak kötü bir fikir midir?


27

Şirket politikam, Linux kutularının SELinux ile güvence altına alınması gerektiğini söylüyor (böylece bir güvenlik denetçisi her sunucu için 'evet, fazlasıyla güvendeyiz!' Onay kutusunu işaretleyebilir). Ubuntu'nun müthiş varsayılan AppArmor güvenliğinden faydalanmayı ummuştum. Hem Apparmor hem de SELinux'u çalıştırmak akıllıca değil mi? (Eğer öyleyse, bu kötü fikir bazı belirsiz ve / veya selinux tweaks ile hafifletilebilir mi?)

Yanıtlar:


26

Linux Çekirdeği, SELinux ve AppArmor'un her ikisinin de uygulaması olan Linux Güvenlik Modülü arabirimini sağlar. (Diğerleri TOMOYO, Smack, ... içerir) Bu arayüz şu anda yalnızca bir LSM'nin bir anda çalışmasına izin vermek için tasarlanmıştır. İkisini aynı anda çalıştırmanın bir yolu yoktur, o yüzden birini seçmelisiniz. Zaman zaman çoklu LSM'lerin nasıl istifleneceği ile ilgili tartışmalar yapıldı, ancak bu henüz yapılmadı.


6
SELinux ve AppArmor, Linux Güvenlik Modülü (LSM) arayüzünün uygulamaları değildir. Onlar LSM arayüzünün tüketicileridir.
inanç

17

İkisini de kullanmam.

Hem SELinux hem de AppArmor aynı temel şeyi yapar: dosyalara ve klasörlere erişimi yalnızca gerçekten erişmesi gereken uygulamalarla sınırlandırmak.

Ancak her ikisi de bu fikri çok farklı şekillerde uygular.

  • SELinux, dosya sisteminizdeki her dosyaya bir etiket ekler ve bir uygulamanın belirli etiketlere erişimini sınırlandırır.
    Örneğin: Apache yalnızca web dosyaları olarak açıkça etiketlenmiş dosyaları ve klasörleri kullanabilir ve diğer uygulamalar kullanamaz.
  • AppArmor aynı şeyi etiket kullanmadan gerçekleştirir, sadece dosya yollarını kullanır.

(Bu SELinux ve AppArmor'un nasıl çalıştığının çok temel bir açıklamasıdır.)

Her ikisini de kullanacak olsaydınız, muhtemelen birbirlerinin yoluna girerlerdi ve ben ikisini de kullanmanın hiçbir yararı ya da avantajı olmadığını görüyorum.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.