SELinux是否提供足够的额外安全性,值得值得学习/设置它的麻烦?


17

我最近在自己的家用PC上安装了Fedora 14,并且一直在努力设置与服务器相关的各种功能,例如apache,mysql,ftp,vpn,ssh等。我很快遇到了一个障碍,就像发现SELinux一样。我以前从未听说过。在进行了一些研究之后,似乎大多数人都认为您应该禁用它,而不应对麻烦。就个人而言,如果确实增加了更多的安全性,我不反对处理如何正确设置它的麻烦。最终,我计划开放我的网络,以便可以远程访问此PC,但是直到我确信它的安全性(或多或少)后,我才这样做。如果您已设置好它并使它正常运行,您是否认为这值得花时间和麻烦?真的更安全吗?如果您选择不使用它,那么这个决定是否基于我的情况也值得考虑的任何研究?


2
请记住,良好的安全性心态是,任何安全性的实施成本都不应超过其保护价值。因此,如果您的时间每小时价值50美元,而实施SELinux则需要8个小时,但平均修复时间仅需1个小时,而更换设备的费用可能仅为50美元...(以为soho路由器)值得实施SELinux的成本。但是,如果您的数据不可替代,并且要达成妥协就不会花费数百万美元,但要实现10万英镑就值得了。
xenoterracide 2011年

Answers:


10

SELinux通过改善进程之间的隔离性并提供更细粒度的安全策略来增强本地安全性。

对于多用户计算机,这是有用的,因为策略更加灵活,并且在用户之间增加了更多的障碍,因此增加了对恶意本地用户的保护。

对于服务器,SELinux可以减少服务器中安全漏洞的影响。在攻击者可能能够获得本地用户或root特权的地方,SELinux可能仅允许他禁用一项特定服务。

对于典型的家庭用途,您将是唯一的用户,并且一旦获得身份验证就希望能够远程进行所有操作,那么您将不会从SELinux获得任何安全性。


但是,如果我计划将其设置为其他人可以使用自己的凭据远程登录的服务器,那么我仍然可以从正确的设置中受益吗?那不是立即计划,但最终可能会…
肯尼思(Kenneth)

@Kenneth:您运行的服务越多,用户越多,SELinux可以带来的安全性就越高。在只有ssh的单用户计算机上,SELinux毫无用处。除此之外,是的,它很有用,但这是一笔巨大的投资。始终牢记,对安全工具的了解不充分是一种责任,因为如果您对安全工具的功能过分自信,可能会产生错误的安全感,并且存在错误配置安全工具和引入安全漏洞的风险。
吉尔(Gilles)“所以

1
@Kenneth-现在学习它的好处是,如果您在愤怒中确实需要它,您将已经学会了很多它的缺点...并且它具有一些缺点:-)
Rory Alsop

1
SELinux可以为家庭使用带来很大的好处。我稍后再详细说明。
mattdm 2011年

1
SELinux甚至可以在单用户计算机上完成出色的工作,例如沙箱应用程序。
wzzrd 2011年

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.