L'importance d'avoir SELinux activé sur un server Web

Cette question est probablement une question d'opinion personnelle, mais je voulais recueillir vos idées sur l'importance d'avoir SELinux activé sur un server Web.

À votre avis, la security supplémentaire est-elle nécessaire ou juste agréable d'avoir? Est-ce que le succès de la performance en vaut la peine? Cela vaut-il la peine? Recommandz-vous une alternative (ex: mod_security)?

Je suis impatient d'entendre les pensées de tous!

One Solution collect form web for “L'importance d'avoir SELinux activé sur un server Web”

Je ne pense sincèrement que ça vaut la peine. Oui, cela offre un niveau de security supplémentaire, mais à un coût significatif. La security n'est pas absolue; tout ce que vous devez faire est d'être mieux que d'autres cibles qui présentent un risque similaire d'être ciblées (ou qui ont un avantage similaire pour l'attaquant si elles sont compromises). Étant donné le nombre de servers qui peuvent encore être ouverts en utilisant un simple brute-forcing par mot de passe, des vulnérabilités d'applications Web sortingviales et des niveaux de correctifs massivement dépassés, si vous faites réellement toutes ces choses, vous êtes si invulnérable par rapport à des millions d'autres systèmes que votre risque d'intrusion est déjà si faible qu'il ne vaut pas la peine de faire plus tard.

Ceci, bien sûr, en supposant que votre parsing de risque se concentre autour d'attaques non ciblées. Si vous êtes susceptible d'être la cible d'un attaquant spécialement qualifié ou motivé (soit parce que vous êtes une cible précieuse, comme une banque, ou que les gens veulent particulièrement vous décrocher, comme Sony), vous voudrez peut -être regarder SELinux , ou d'autres produits de security de niche.

  • SELinux empêche Apache d'écrire sur le socket de domaine Unix de pgbouncer
  • Limiter l'access des users au Linux
  • Accès au file Zabbix & SNMPTT.log refusé
  • L'access Apache Documentroot interdit
  • Comment puis-je affecter une label SELinux à un lien symbolique avec semanage afin qu'il persiste après une relabel?
  • Comment puis-je configurer SELinux pour laisser rsyslogd exécuter mon programme?
  • SSH permettant aux hôtes distants de se connecter à des ports locaux transférés
  • openssh-lpk - Impossible d'avoir un context de security SELinux par défaut pour ldapuser
  • Boot suspendu sur SELINUX?
  • Diagnostic de la sortie d'erreur rsync
  • Pourquoi Apache autorise-t-il des liens symboliques avec SELinux?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.