SELinux, öğrenme / kurma zorluğuna değecek ekstra güvenlik sağlıyor mu?

Son zamanlarda ev bilgisayarıma Fedora 14'ü yükledim ve apache, mysql, ftp, vpn, ssh, vb.Gibi farklı sunucu ile ilgili özellikler kurmaya çalışıyorum. Daha önce hiç duymamıştım. Biraz araştırma yaptıktan sonra, çoğu insan sadece devre dışı bırakmanız ve güçlükle uğraşmamanız gerektiği görüşündeydi. Şahsen daha fazla güvenlik eklerse, uygun şekilde nasıl ayarlanacağını öğrenmenin baş ağrılarıyla uğraşmam. Sonunda bu pc uzaktan erişim böylece ağımı açmayı planlıyorum ama güvenli (az ya da çok) emin olduğum kadar bu kadar yapmak istemiyorum. Eğer kurduysanız ve düzgün çalışmasını sağladıysanız, zaman ve sıkıntıya değdiğini hissediyor musunuz? Gerçekten daha güvenli mi? Kullanmayı seçmediyseniz, bu durum benim durumumda da dikkate değer herhangi bir araştırmaya dayanıyordu?

linux security selinux

— Kenneth
kaynak

iyi bir güvenlik zihniyetinin, hiçbir güvenliğin, korumanın değerinden daha fazla maliyete mal olmaması gerektiğini lütfen unutmayın. Bu nedenle, zamanınız saatte 50 $ değerinde ise ve SELinux'u uygulamak 8 saat sürecekse, ancak onarılması sadece 1 saat sürer ve belki bir cihazı değiştirmek için 50 dolar ... (soho yönlendirici düşünerek) SELinux uygulama maliyetine değer. Bununla birlikte, verileriniz yeri doldurulamazsa ve bir uzlaşmanın milyonlara mal olması gerekir, ancak uygulanması 100k sürer ... buna değer.

— Mart'ta xenoterracide

Yanıtlar:

SELinux, süreçler arasındaki izolasyonu iyileştirerek ve daha hassas güvenlik politikaları sağlayarak yerel güvenliği geliştirdi.

Çok kullanıcılı makineler için bu, daha esnek politikalar nedeniyle yararlı olabilir ve kullanıcılar arasında daha fazla engel oluşturur, böylece kötü niyetli yerel kullanıcılara karşı koruma sağlar.

Sunucular için SELinux, bir sunucudaki güvenlik açığının etkisini azaltabilir. Saldırganın yerel kullanıcı veya kök ayrıcalıkları elde edebileceği durumlarda, SELinux yalnızca belirli bir hizmeti devre dışı bırakmasına izin verebilir.

Tek kullanıcı olacağınız ve kimlik doğrulaması yapıldıktan sonra her şeyi uzaktan yapabilmek istediğiniz tipik ev kullanımı için SELinux'dan herhangi bir güvenlik elde edemezsiniz.

— Gilles 'SO- şeytan olmayı bırak'
kaynak

ancak başkalarının kendi kimlik bilgileriyle uzaktan oturum açabileceği bir sunucu yapmayı planlıyorsam, yine de doğru bir kurulumdan yararlanabilir miyim? Bu yakın planlarda değil ama sonunda olabilir ...

— Kenneth

@Kenneth: Ne kadar çok hizmet çalıştırırsanız ve ne kadar çok kullanıcınız olursa, SELinux daha fazla güvenlik sağlayabilir. Yalnızca ssh içeren tek kullanıcılı bir makinenin en uç noktasında SELinux işe yaramaz. Bunun ötesinde, evet, faydalı, ama büyük bir yatırım. Her zaman iyi anlaşılmamış bir güvenlik aracının bir sorumluluk olduğunu unutmayın, çünkü yetenekleri konusunda aşırı güvenirseniz yanlış bir güvenlik duygusu alabilirsiniz ve bu aracı yanlış yapılandırabileceğiniz ve bir güvenlik açığı tanıtabileceğiniz riski vardır.

— Gilles 'SO- kötü olmayı bırak'

@Kenneth - şimdi öğrenmenin tersi, öfkeyle ihtiyacınız varsa, zaten birçok foblesini öğrenmiş olacaksınız ... ve birkaç :-)

— Rory Alsop

SELinux'un ev kullanımı için güçlü faydaları olabilir. Daha sonra daha ayrıntılı olarak açıklayacağım.

— mattdm 13.03.2011

SELinux, kum havuzu uygulamaları gibi tek bir kullanıcı makinesinde bile harika şeyler yapabilir.

— wzzrd

Benim gibi BT dışı kişiler için SELinux ile ilgili sorun, kendini izin sorunlarının nedeni olarak tanımlamamasıdır - başka bir deyişle, aldığınız hatalar diğer daha yaygın hatalardan ayırt edilemez ve SELinux en son bakacağınız yer veya bunun için herkese açık yanıtlar alabilirsiniz. Bu, IMO'nun en kötü özellik türüdür.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

— Jeremy Leipzig
kaynak