同时运行SELinux和AppArmor是一个坏主意吗？

我的公司政策规定，必须使用SELinux对Linux机器进行安全保护（以便安全审核员可以为每台服务器选中“是的，我们非常安全！”复选框）。我曾希望利用Ubuntu出色的默认AppArmor安全性。同时运行Apparmor和SELinux是否不明智？（如果是这样，可以通过一些apparmor和/或selinux调整来减轻这个坏主意吗？）

Linux内核提供了Linux安全模块接口，SELinux和AppArmor都是它们的实现。（其他包括TOMOYO，Smack等）。当前设计该接口仅允许一次运行一个LSM。无法同时运行两个，因此必须选择一个。时常有关于如何“堆叠”多个LSM的讨论，但这尚未完成。

我不会两者都用。

SELinux和AppArmor都执行相同的基本操作：将文件和文件夹的访问限制为仅真正需要访问的应用程序。

但是两者都以非常不同的方式实现了这个想法。

• SELinux在文件系统中的每个文件上附加一个标签，并将对应用程序的访问限制为某些标签。
  例如：Apache只能使用显式标记为Web文件的文件和文件夹，而其他应用程序则不能。
• AppArmor无需使用标签即可完成相同的操作，它仅使用文件路径。

（这是关于SELinux和AppArmor如何操作的非常非常基本的解释。）

如果您同时使用它们，则可能会互相妨碍，我真的认为同时使用它们既没有必要也没有优势。