Ich habe kürzlich Fedora 14 auf meinem Heim-PC installiert und verschiedene Server-bezogene Funktionen wie Apache, MySQL, FTP, VPN, SSH usw. eingerichtet. Ich bin sehr schnell auf eine Barriere gestoßen, die sich anfühlte, als ich SELinux entdeckte Ich hatte noch nie davon gehört. Nach einigen Recherchen schien es, als ob die meisten Leute der Meinung wären, dass man es einfach deaktivieren und nicht mit dem Ärger fertig werden sollte. Persönlich, wenn es wirklich mehr Sicherheit gibt, bin ich nicht dagegen, mit den Kopfschmerzen des Lernens, wie man es richtig einrichtet, umzugehen. Irgendwann habe ich vor, mein Netzwerk zu öffnen, damit auf diesen PC remote zugegriffen werden kann, aber ich möchte dies erst tun, wenn ich mir sicher bin, dass er sicher ist (mehr oder weniger). Wenn Sie es eingerichtet und in Betrieb genommen haben, glauben Sie, dass es die Zeit und den Aufwand wert war? Ist es wirklich sicherer? Wenn Sie sich gegen die Verwendung entschieden haben, war diese Entscheidung auf eine Untersuchung gestützt, die auch in meiner Situation erwägenswert ist?
17
Antworten:
SELinux verbesserte die lokale Sicherheit, indem es die Isolierung zwischen Prozessen verbesserte und differenziertere Sicherheitsrichtlinien bereitstellte.
Bei Computern mit mehreren Benutzern kann dies aufgrund der flexibleren Richtlinien nützlich sein und die Barrieren zwischen den Benutzern erhöhen, um den Schutz vor böswilligen lokalen Benutzern zu erhöhen.
Bei Servern kann SELinux die Auswirkungen einer Sicherheitsanfälligkeit auf einen Server verringern. In Fällen, in denen der Angreifer möglicherweise lokale Benutzer- oder Root-Rechte erlangen kann, kann er mit SELinux möglicherweise nur einen bestimmten Dienst deaktivieren.
Für den typischen Heimgebrauch, bei dem Sie der einzige Benutzer sind und nach der Authentifizierung alles remote abrufen möchten, erhalten Sie von SELinux keine Sicherheit.
quelle
Das Problem mit SELinux für Nicht-IT-Mitarbeiter wie mich ist, dass es sich nicht als Ursache für Berechtigungsprobleme identifiziert - mit anderen Worten, die Fehler, die Sie erhalten, sind nicht von anderen häufigen Fehlern zu unterscheiden, und SELinux ist der letzte Ort, an dem Sie nachsehen oder suchen für die Sie öffentlich Antworten erhalten können. Dies ist die schlechteste Art von IMO-Merkmal.
http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html
quelle