SELinux có cung cấp đủ bảo mật bổ sung để xứng đáng với những rắc rối khi học / thiết lập nó không?


17

Gần đây tôi đã cài đặt Fedora 14 trên máy tính cá nhân của mình và đang làm việc để thiết lập các tính năng khác nhau liên quan đến máy chủ như apache, mysql, ftp, vpn, ssh, v.v. Trước đây tôi chưa từng nghe nói đến. Sau khi thực hiện một số nghiên cứu, dường như hầu hết mọi người đều cho rằng bạn chỉ nên vô hiệu hóa nó và không giải quyết rắc rối. Cá nhân nếu nó thực sự tăng thêm bảo mật thì tôi không phản đối việc giải quyết những vấn đề đau đầu trong việc học cách thiết lập nó một cách thích hợp. Cuối cùng, tôi có kế hoạch mở mạng của mình lên để máy tính này có thể truy cập từ xa nhưng tôi không muốn làm điều đó cho đến khi tôi tự tin rằng nó an toàn (ít nhiều). Nếu bạn đã thiết lập nó và làm cho nó hoạt động chính xác, bạn có cảm thấy rằng nó đáng giá thời gian và rắc rối không? Có thực sự an toàn hơn? Nếu bạn đã từ chối sử dụng thì đó có phải là quyết định dựa trên bất kỳ nghiên cứu nào đáng để xem xét trong tình huống của tôi không?


2
xin lưu ý rằng một tư duy bảo mật tốt là không có bảo mật nào phải trả nhiều chi phí để thực hiện hơn giá trị của những gì nó bảo vệ. Do đó, nếu thời gian của bạn trị giá 50 đô la một giờ và bạn sẽ mất 8 giờ để thực hiện SELinux, nhưng sẽ chỉ mất trung bình 1 giờ để sửa chữa và có thể 50 đô la để thay thế một thiết bị ... (nghĩ rằng bộ định tuyến soho) thì không xứng đáng với chi phí thực hiện SELinux. Tuy nhiên, nếu dữ liệu của bạn là không thể thay thế, và không phải là một sự thỏa hiệp sẽ tốn hàng triệu đô la nhưng phải mất 100k để thực hiện ... nó đáng giá.
xenoterracide

Câu trả lời:


10

SELinux tăng cường bảo mật cục bộ bằng cách cải thiện sự cô lập giữa các quy trình và cung cấp các chính sách bảo mật chi tiết hơn.

Đối với các máy nhiều người dùng, điều này có thể hữu ích vì các chính sách linh hoạt hơn và nó làm tăng thêm nhiều rào cản giữa những người dùng để nó tăng thêm sự bảo vệ chống lại người dùng cục bộ độc hại.

Đối với máy chủ, SELinux có thể giảm tác động của lỗ hổng bảo mật trong máy chủ. Trong trường hợp kẻ tấn công có thể có được quyền người dùng cục bộ hoặc quyền root, SELinux chỉ có thể cho phép anh ta vô hiệu hóa một dịch vụ cụ thể.

Đối với việc sử dụng tại nhà thông thường, nơi bạn sẽ là người dùng duy nhất và bạn sẽ muốn có thể mọi thứ từ xa một khi được xác thực, bạn sẽ không nhận được bất kỳ bảo mật nào từ SELinux.


Nhưng nếu tôi có kế hoạch biến nó thành một máy chủ mà người khác có thể đăng nhập từ xa bằng thông tin đăng nhập của riêng họ thì tôi vẫn có thể hưởng lợi từ một thiết lập chính xác? Điều đó không nằm trong kế hoạch trước mắt nhưng cuối cùng có thể là ...
Kenneth

@Kenneth: Bạn càng chạy nhiều dịch vụ và bạn càng có nhiều người dùng, thì Selinux có thể mang lại nhiều bảo mật hơn. Ở cực kỳ của một máy người dùng chỉ có ssh, SELinux không sử dụng. Ngoài ra, vâng, nó hữu ích, nhưng đó là một khoản đầu tư lớn. Luôn luôn nhớ rằng một công cụ bảo mật được hiểu kém là một trách nhiệm pháp lý, bởi vì bạn có thể có cảm giác an toàn sai lầm nếu bạn quá tự tin về khả năng của nó, và có nguy cơ bạn sẽ hiểu sai về nó và đưa ra lỗ hổng bảo mật.
Gilles 'SO- ngừng trở nên xấu xa'

1
@Kenneth - mặt trái của việc học nó bây giờ, là nếu bạn cần nó trong sự tức giận, bạn sẽ học được rất nhiều yếu tố của nó ... và nó có một vài :-)
Rory Alsop

1
SELinux có thể có lợi ích mạnh mẽ cho việc sử dụng nhà. Tôi sẽ giải thích thêm sau.
mattdm

1
SELinux có thể làm những thứ tuyệt vời, ngay cả trên một máy người dùng, như các ứng dụng hộp cát.
wzzrd

5

Vấn đề với SELinux đối với những người không phải CNTT như tôi là nó không tự nhận mình là nguyên nhân của các vấn đề về quyền - nói cách khác, các lỗi bạn gặp phải không thể phân biệt được với các lỗi phổ biến khác và SELinux là nơi cuối cùng bạn sẽ nhìn hoặc mà bạn sẽ có thể nhận được câu trả lời công khai. Đây là loại tính năng tồi tệ nhất IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhified-headaches.html

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.