Pourquoi nous avons besoin de SELinux?

Je ne pouvais pas beaucoup savoir où le SELinux a été utilisé et ce qu'il économise de l'attaquant. J'ai parcouru le site Web de SELinux et j'ai lu l'idée de base mais toujours pas sur SELinux. Pour le système Linux qui fournit la shell SSH, l'interface frontale Apache, l'application Web basée sur le rôle, MySQL DB, memcached, presque tous les systèmes sont protégés par mot de passe, alors pourquoi nous avons besoin de SELinux?

5 Solutions collect form web for “Pourquoi nous avons besoin de SELinux?”

Vous pouvez afficher SELinux comme un pare-feu d'appel système : une politique pour chaque application spécifie ce qui est raisonnable pour l'application: le server de noms peut écouter sur le port 53, travailler avec certains files de zone dans un directory particulier, envoyer syslog, … . Mais il ne semble pas logique d'essayer de travailler avec des files dans / home, par exemple. L'application par SELinux d'une telle politique signifie qu'il sera beaucoup plus difficile pour une faiblesse dans le server de noms de se propager à d'autres parties du système.

Je trouve que SELinux fournit une valeur de security réelle. Mais alors qu'il est certainement devenu plus facile de travailler au fil des années, il est malheureusement encore un système assez complexe. La bonne chose est que vous pouvez facilement l'éteindre pour certains services, sans devoir l'éteindre pour l'set du système. Trop nombreux (junior?) Les sysadmins se tournent de SELinux à travers le tableau, dès qu'ils rencontrent le moindre problème avec un service – au lieu de l'éteindre sélectivement pour le problème du service.

Tous les problèmes de security ne peuvent être prévus à l'avance. Si un attaquant parvient à exploiter une faiblesse dans un module httpd tiers, ils ont access aux mêmes files que l'user httpd est en cours d'exécution. SELinux restreint encore ceci en les limitant aux actions et aux contexts de files auxquels leur domaine SELinux a access.

Ces questions précédentes pourraient être informatives:

SELinux dans le monde réel

et

Exemple de security SELinux de la vie réelle?

et

Raisons de désactiver / activer SELinux

Je pense que le terme Contrôle d'access obligatoire le résume très bien. SELinux vous offre un système plus sécurisé grâce à un kernel plus sécurisé, en grande partie grâce à une implémentation MAC.

SELinux fait un bon travail pour exposer la complexité de tout un système Linux.
Un aspect intéressant de la security est la question «qu'est-ce qu'il fait?»
Bien, si cela fonctionne, vous ne le saurez peut-être jamais. Si vous exécutez un server Web et que vous venez de restr, alors vous ne savez peut-être pas que plusieurs exploits ont même été essayés contre votre système.
En ce qui concerne les entresockets privées, je ne sais pas. Si elles ont besoin de l'intégrité que SELinux apporte à la table, alors elles devraient.
En ce qui concerne le gouvernement, il existe des sources publiques (lists de projets gouvernementaux et autres) qui semblent indiquer que le MAC est utilisé et peut être assez lourd. Les systèmes gouvernementaux, en fonction du deployment et de l'information qu'un système détient, doivent satisfaire à certains critères avant d'être utilisés.
En fin de count, la security est vraiment la gestion des risques et le choix du bon niveau d'effort.
De plus, la security est un effort continu, pas quelque chose que vous allumez simplement.

  • Activez Selinux pour permettre la lecture et l'écriture de files mysql sur un partage nfs
  • SELinux bloquant la list des directorys Samba
  • SELinux empêche les plugins Nagios de s'exécuter sur RHEL6
  • Recherche d'ID local pour le déni SELinux sous Fedora 23
  • Désactivation de SeLinux
  • Que fait le file .autorelabel dans Linux?
  • Pourquoi ModSecurity Impossible d'accéder au directory de données?
  • SELinux - Permet à plusieurs services d'accéder à la même / home / dir
  • Quelque chose sur CentOS bloque la connection MySQL à distance
  • Semodule -i doit-il être exécuté après chaque mise à jour de la stratégie SELinux?
  • Règles SELinux dans CentOS 7 avec Samba et SSSD sur la génération de tickets Kerberos
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.