Ist es eine schlechte Idee, SELinux und AppArmor gleichzeitig auszuführen?

27

Meine Unternehmensrichtlinie besagt, dass Linux-Boxen mit SELinux gesichert werden müssen (damit ein Sicherheitsprüfer das Kontrollkästchen "Ja, wir sind extrem sicher!" Für jeden Server aktivieren kann). Ich hatte gehofft, Ubuntus großartige Standard-AppArmor-Sicherheit nutzen zu können. Ist es nicht ratsam, sowohl Apparmor als auch SELinux auszuführen? (Wenn ja, kann diese schlechte Idee mit einigen Apparmor- und / oder Selinux-Optimierungen gemildert werden?)

belacqua
quelle

Antworten:

26

Der Linux-Kernel stellt die Linux-Sicherheitsmodul- Schnittstelle bereit, für die SELinux und AppArmor beide Implementierungen sind. (Andere sind TOMOYO, Smack, ...) Diese Schnittstelle ist derzeit so konzipiert, dass nur ein einziges LSM gleichzeitig betriebsbereit ist. Es gibt keine Möglichkeit, zwei gleichzeitig auszuführen, daher müssen Sie eine auswählen. Von Zeit zu Zeit wurde darüber diskutiert, wie mehrere LSMs "gestapelt" werden können, dies ist jedoch noch nicht geschehen.

Kees Cook
quelle
6
SELinux und AppArmor sind keine Implementierungen der Linux Security Module (LSM) -Schnittstelle. Sie sind Verbraucher der LSM-Schnittstelle.
Ruief
17

Ich würde nicht beide verwenden.

Sowohl SELinux als auch AppArmor tun dasselbe: Den Zugriff auf Dateien und Ordner auf die Anwendungen beschränken, die wirklich Zugriff benötigen.

Beide setzen diese Idee jedoch auf sehr unterschiedliche Weise um.

  • SELinux fügt jeder Datei in Ihrem Dateisystem eine Bezeichnung hinzu und beschränkt den Zugriff einer Anwendung auf bestimmte Bezeichnungen.
    Beispiel: Apache kann nur Dateien und Ordner verwenden, die explizit als Webdateien gekennzeichnet sind, und andere Anwendungen können dies nicht.
  • AppArmor führt dasselbe aus, ohne Labels zu verwenden. Es werden nur Dateipfade verwendet.

(Dies ist eine sehr grundlegende Erklärung der Funktionsweise von SELinux und AppArmor.)

Wenn Sie beide verwenden würden, würden sie sich wahrscheinlich gegenseitig in die Quere kommen, und ich sehe keine Notwendigkeit oder keinen Vorteil darin, beide zu verwenden.

Kenny Rasschaert
quelle