Có phải là một ý tưởng tồi khi chạy SELinux và AppArmor cùng một lúc?

Chính sách công ty của tôi nói rằng các hộp Linux phải được bảo mật bằng SELinux (để kiểm toán viên bảo mật có thể kiểm tra hộp kiểm 'có, chúng tôi cực kỳ an toàn!' Cho mỗi máy chủ). Tôi đã hy vọng tận dụng được bảo mật AppArmor mặc định tuyệt vời của Ubuntu. Có phải là không khôn ngoan khi chạy cả Apparmor và SELinux? (Nếu vậy, ý tưởng tồi này có thể được giảm thiểu bằng một số chỉnh sửa apparmor và / hoặc selinux không?)

Hạt nhân Linux cung cấp giao diện Mô-đun bảo mật Linux , trong đó cả Selinux và AppArmor đều là các triển khai. (Những người khác bao gồm TOMOYO, Smack, ...) Giao diện này hiện được thiết kế để chỉ cho phép một LSM duy nhất hoạt động tại một thời điểm. Không có cách nào để chạy hai cái cùng một lúc, vì vậy bạn phải chọn một. Thỉnh thoảng đã có cuộc thảo luận về cách "xếp" nhiều LSM, nhưng điều này vẫn chưa được thực hiện.

Tôi sẽ không sử dụng cả hai.

Cả SELinux và AppArmor đều thực hiện cùng một điều cơ bản: giới hạn quyền truy cập vào các tệp và thư mục chỉ trong các ứng dụng thực sự cần truy cập.

Nhưng cả hai thực hiện ý tưởng này theo những cách rất khác nhau.

• SELinux đính kèm nhãn cho mọi tệp trong hệ thống tệp của bạn và giới hạn quyền truy cập của ứng dụng vào một số nhãn nhất định.
  Ví dụ: Apache chỉ có thể sử dụng các tệp và thư mục được dán nhãn rõ ràng là các tệp web và các ứng dụng khác không thể.
• AppArmor hoàn thành điều tương tự mà không cần sử dụng nhãn, nó chỉ sử dụng đường dẫn tệp.

(Đây là một lời giải thích rất cơ bản về cách thức hoạt động của SELinux và AppArmor.)

Nếu bạn sử dụng cả hai thì có lẽ họ sẽ gặp nhau và tôi thực sự thấy không cần thiết hay lợi thế gì khi sử dụng cả hai.