Ubuntu có sử dụng SELinux theo mặc định không và nếu không, bối cảnh bảo mật được quản lý như thế nào? Ví dụ, cho phép các tiến trình chạy bằng root mà không có bối cảnh bảo mật có thể là một rủi ro bảo mật.
Các trang trợ giúp về SELinux gợi ý rằng SELinux là một chương trình mà cần phải được cài đặt bằng tay.
Vì vậy, làm thế nào để Ubuntu xử lý bối cảnh bảo mật ra khỏi hộp?
Câu trả lời:
Ubuntu sử dụng AppArmor , một lựa chọn thay thế.
Wikipedia đưa ra một số gợi ý về lý do tại sao một số người nghĩ AppArmor tốt hơn so với SELinux:
AppArmor được cung cấp một phần thay thế cho SELinux, điều mà các nhà phê bình cho rằng khó khăn cho các quản trị viên để thiết lập và duy trì. Không giống như SELinux, dựa trên việc áp dụng nhãn cho tệp, AppArmor hoạt động với đường dẫn tệp. Những người đề xuất AppArmor tuyên bố rằng nó ít phức tạp hơn và dễ dàng hơn cho người dùng trung bình để tìm hiểu so với SELinux. Họ cũng tuyên bố rằng AppArmor yêu cầu ít sửa đổi hơn để hoạt động với các hệ thống hiện có: ví dụ: SELinux yêu cầu hệ thống tệp hỗ trợ "nhãn bảo mật" và do đó không thể cung cấp kiểm soát truy cập cho các tệp được gắn qua NFS. AppArmor là hệ thống bất khả tri.
Ubuntu vận chuyển nhiều hồ sơ AppArmor cho các ứng dụng cốt lõi. Bạn có thể tìm thấy chúng trong /etc/apparmor.d/. Nếu bạn cần chỉnh sửa các cấu hình mặc định, bạn có thể ghi đè cài đặt từ đó /etc/apparmor.d/local/.
Ubuntu cũng gửi một số cái gọi là "trừu tượng", đó là những cách giúp bạn viết các hồ sơ AppArmor của riêng bạn một cách nhanh chóng mà không cần lặp lại chính mình ( nguyên tắc DRY nổi tiếng ).
Một điều quan trọng cần lưu ý là hồ sơ AppArmor cho Firefox bị tắt theo mặc định, vì nó có thể quá hạn chế đối với nhiều người dùng. Tuy nhiên, bạn có thể kích hoạt nó như được mô tả trong tài liệu :
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Nếu bạn muốn sử dụng SELinux, bạn có thể tắt AppArmor và cài đặt gói selinux . Tuy nhiên, xin lưu ý rằng cấu hình mặc định cho SELinux trong Ubuntu không hạn chế nhiều, vì vậy bạn phải tự cấu hình nó.
Như câu trả lời của Andrea chỉ ra, Ubuntu sử dụng AppArmor. Ngữ cảnh SELinux "mặc định" mà Ubuntu sử dụng, phụ thuộc rất lớn vào cách bạn cài đặt SELinux (tôi tin rằng selinux-default, chính là cái mà bạn đang tìm kiếm). Tất nhiên, nếu bạn không cài đặt, bạn nên cấu hình nó theo sở thích của bạn.