Tôi không thể biết nhiều về việc Selinux đã được sử dụng ở đâu và nó tiết kiệm được gì từ kẻ tấn công. Tôi đã đi qua trang web của SELinux và đọc những điều cơ bản nhưng vẫn không nhận được manh mối về SELinux. Đối với hệ thống Linux cung cấp shell SSH, giao diện người dùng Apache, ứng dụng web dựa trên vai trò, MySQL DB, memcached, hầu như tất cả các hệ thống đều được bảo vệ bằng mật khẩu, vậy tại sao chúng ta cần TỰ TIN?
Câu trả lời:
Bạn có thể xem SELinux dưới dạng tường lửa gọi hệ thống : Chính sách cho mỗi ứng dụng chỉ định những gì hợp lý cho ứng dụng đó: Máy chủ tên có thể lắng nghe trên cổng 53, làm việc với một số tệp vùng trong một thư mục cụ thể, gửi syslog, .. ., nhưng chẳng có nghĩa gì khi nó cố gắng làm việc với các tệp trong / home chẳng hạn. Việc thực thi chính sách như vậy của SELinux có nghĩa là sẽ khó khăn hơn nhiều cho một điểm yếu trong máy chủ tên để lan sang các phần khác của hệ thống.
Tôi thấy rằng SELinux cung cấp giá trị bảo mật thực sự. Nhưng trong khi nó chắc chắn đã trở nên dễ dàng hơn để làm việc trong nhiều năm qua, thì thật không may - vẫn là một hệ thống khá phức tạp. Điều tốt là bạn có thể dễ dàng tắt nó cho một số dịch vụ, mà không phải tắt nó cho toàn bộ hệ thống. Quá nhiều hệ thống (cơ sở?) Biến Selinux trên bảng, ngay khi họ gặp phải sự cố nhỏ nhất với một dịch vụ - thay vì tắt có chọn lọc cho dịch vụ gây rắc rối.
man -k selinuxlà một nơi tốt để bắt đầu. Thông thường, có các sebools * _disable_trans có thể được đặt để vô hiệu hóa SELinux trên các dịch vụ cụ thể.
Không phải tất cả các vấn đề bảo mật có thể được dự đoán trước. Nếu kẻ tấn công quản lý để khai thác điểm yếu trong ví dụ mô-đun httpd của bên thứ ba thì họ có quyền truy cập vào cùng các tệp mà người dùng httpd đang chạy. SELinux tiếp tục hạn chế điều này bằng cách giới hạn chúng trong các hành động và bối cảnh tệp mà tên miền SELinux của chúng có quyền truy cập.
Tôi nghĩ thuật ngữ Kiểm soát truy cập bắt buộc tổng hợp khá độc đáo. SELinux cung cấp cho bạn một hệ thống an toàn hơn thông qua một hạt nhân an toàn hơn, phần lớn là do triển khai MAC.
SELinux thực hiện tốt công việc phơi bày sự phức tạp tuyệt đối của toàn bộ hệ thống Linux.
Một khía cạnh thú vị của bảo mật là câu hỏi "nó đang làm gì?"
Vâng, nếu nó đang làm việc bạn có thể không bao giờ biết. Nếu bạn đang chạy một máy chủ web và nó vừa mới hoạt động, thì bạn có thể không biết một vài khai thác thậm chí đã được thử đối với hệ thống của bạn.
Đối với các công ty tư nhân, tôi không biết. Nếu họ cần sự toàn vẹn mà SELinux mang đến cho bảng, thì họ nên làm.
Đối với Chính phủ, có các nguồn công khai (liệt kê các dự án của chính phủ và tương tự) dường như chỉ ra rằng MAC đang được sử dụng, và có thể khá nặng nề. Các hệ thống chính phủ, tùy thuộc vào việc triển khai và thông tin mà hệ thống nắm giữ, phải đáp ứng các tiêu chí nhất định trước khi được sử dụng.
Cuối cùng, bảo mật thực sự là quản lý rủi ro và lựa chọn mức độ nỗ lực phù hợp.
Ngoài ra bảo mật là một nỗ lực đang diễn ra, không phải là thứ bạn chỉ bật.