L'importance d'avoir SELinux activé sur un server Web

Cette question est probablement une question d'opinion personnelle, mais je voulais recueillir vos idées sur l'importance d'avoir SELinux activé sur un server Web.

À votre avis, la security supplémentaire est-elle nécessaire ou juste agréable d'avoir? Est-ce que le succès de la performance en vaut la peine? Cela vaut-il la peine? Recommandz-vous une alternative (ex: mod_security)?

Je suis impatient d'entendre les pensées de tous!

One Solution collect form web for “L'importance d'avoir SELinux activé sur un server Web”

Je ne pense sincèrement que ça vaut la peine. Oui, cela offre un niveau de security supplémentaire, mais à un coût significatif. La security n'est pas absolue; tout ce que vous devez faire est d'être mieux que d'autres cibles qui présentent un risque similaire d'être ciblées (ou qui ont un avantage similaire pour l'attaquant si elles sont compromises). Étant donné le nombre de servers qui peuvent encore être ouverts en utilisant un simple brute-forcing par mot de passe, des vulnérabilités d'applications Web sortingviales et des niveaux de correctifs massivement dépassés, si vous faites réellement toutes ces choses, vous êtes si invulnérable par rapport à des millions d'autres systèmes que votre risque d'intrusion est déjà si faible qu'il ne vaut pas la peine de faire plus tard.

Ceci, bien sûr, en supposant que votre parsing de risque se concentre autour d'attaques non ciblées. Si vous êtes susceptible d'être la cible d'un attaquant spécialement qualifié ou motivé (soit parce que vous êtes une cible précieuse, comme une banque, ou que les gens veulent particulièrement vous décrocher, comme Sony), vous voudrez peut -être regarder SELinux , ou d'autres produits de security de niche.

  • Impossible de rm / unlink les files au début, mais peut après vim et l'écriture du file
  • Le docker a rendu l'hôte Fedora non démarrable en mode d'application Selinux
  • Module SELinux pour un file spécifique plutôt qu'un context entier
  • Comment interdire au Docker Daemon de monter le système de files racine de l'hôte dans le conteneur
  • SElinux sur Debian Jessie manquant la politique par défaut
  • Autorisation OpenDKIM refusée
  • Gitolite3 push et l'échec de l'access Selinux
  • selinux, file ne correspondant pas file_contexts.local
  • MySQL tmpdir sur / dev / shm avec SELinux
  • MySQL 5.6 et SELinux font valoir
  • pure-ftpd auth bloqué par SELinux
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.