ทำไมเราต้องมี SELinux


14

ฉันไม่ทราบว่ามีการใช้งาน SELinux มากน้อยแค่ไหนและมันช่วยอะไรจากผู้โจมตีได้บ้าง ฉันได้ไปที่เว็บไซต์ของ SELinux แล้วอ่านขั้นพื้นฐาน แต่ก็ยังไม่ได้รับเบาะแสเกี่ยวกับ SELinux สำหรับระบบ Linux ที่มีเชลล์ SSH, Apache front, เว็บแอพพลิเคชั่นตามบทบาท, ฐานข้อมูล MySQL, memcached, เกือบทุกระบบได้รับการป้องกันด้วยรหัสผ่านแล้วทำไมเราถึงต้องใช้ SELinux?

คำตอบ:


14

คุณอาจดู SELinux เป็นไฟร์วอลล์สายระบบ : นโยบายสำหรับแต่ละแอปพลิเคชันระบุว่าอะไรที่เหมาะสมสำหรับแอปพลิเคชันที่ต้องทำ: เซิร์ฟเวอร์ชื่ออาจฟังพอร์ต 53 ทำงานกับไฟล์โซนบางไฟล์ในไดเรกทอรีเฉพาะส่ง syslog .. . แต่มันไม่มีเหตุผลที่จะพยายามทำงานกับไฟล์ใน / home เช่น การบังคับใช้นโยบายดังกล่าวของ SELinux หมายความว่ามันจะยากกว่ามากสำหรับจุดอ่อนในเนมเซิร์ฟเวอร์ที่จะแพร่กระจายไปยังส่วนอื่น ๆ ของระบบ

ฉันพบว่า SELinux มอบความปลอดภัยที่แท้จริง แต่ในขณะที่มันทำงานได้ง่ายขึ้นในช่วงหลายปีที่ผ่านมา แต่ก็ยังเป็นระบบที่ค่อนข้างซับซ้อน สิ่งที่ดีคือคุณสามารถปิดได้ง่ายสำหรับบริการบางอย่างโดยไม่ต้องปิดทั้งระบบ sysadmins จำนวนมาก (จูเนียร์) เปลี่ยน SELinux ทั่วกระดานทันทีที่พบปัญหาเพียงเล็กน้อยกับบริการเดียว - แทนที่จะเลือกปิดเพื่อให้เกิดปัญหา


อยากรู้อยากเห็น: "ปิดได้ง่ายสำหรับบริการบางอย่าง" ได้อย่างไร
Belmin Fernandez

man -k selinuxเป็นจุดเริ่มต้นที่ดี โดยทั่วไปจะมี * _disable_trans sebools ซึ่งสามารถตั้งค่าให้ปิดใช้งาน SELinux ในบริการบางอย่างได้
jgoldschrafe

2
@ jgoldschrafe และนั่นคือวิธี "ง่าย" เป็น
Jürgen A. Erhard

1
"ไม่มีเหตุผลที่จะลองใช้งานไฟล์ใน / home" - และคุณไม่สามารถ จำกัด การเข้าถึงเซิร์ฟเวอร์ DNS ของไฟล์เหล่านั้นด้วยการอนุญาต
symcbean

8

ไม่สามารถคาดการณ์ปัญหาด้านความปลอดภัยได้ล่วงหน้าทั้งหมด หากผู้โจมตีจัดการเพื่อใช้ประโยชน์จากจุดอ่อนในเช่นโมดูล httpd ของบุคคลที่สามพวกเขาจะสามารถเข้าถึงไฟล์เดียวกันกับที่ผู้ใช้ httpd ทำงานเช่นเดียวกับ SELinux จำกัด สิ่งนี้โดย จำกัด การกระทำและบริบทไฟล์ที่โดเมน SELinux ของพวกเขาสามารถเข้าถึงได้



2

ฉันคิดว่าคำว่าMandatory Access Controlสรุปมันค่อนข้างดี SELinux ช่วยให้คุณมีระบบที่ปลอดภัยยิ่งขึ้นผ่านเคอร์เนลที่มีความปลอดภัยมากขึ้นส่วนใหญ่เกิดจากการใช้งาน MAC


2

SELinuxทำงานได้ดีในการเปิดเผยความซับซ้อนที่แท้จริงของระบบ Linux ทั้งหมด
ด้านความปลอดภัยที่น่าสนใจคือคำถาม "มันกำลังทำอะไรอยู่?"
ถ้ามันทำงานคุณอาจไม่เคยรู้ หากคุณใช้งานเว็บเซิร์ฟเวอร์และเพิ่งจะเริ่มต้นใหม่คุณอาจไม่ทราบว่ามีการพยายามหาช่องโหว่บางอย่างกับระบบของคุณ
สำหรับ บริษัท เอกชนฉันไม่รู้ หากพวกเขาต้องการความซื่อตรงที่ SELinux นำมาสู่ตารางพวกเขาควรจะทำเช่นนั้น
สำหรับรัฐบาลนั้นมีแหล่งข้อมูลสาธารณะ (รายการของโครงการของรัฐบาลและสิ่งที่คล้ายกัน) ที่ดูเหมือนว่าชี้ให้เห็นว่า MAC กำลังถูกใช้งานและเป็นไปได้ค่อนข้างมาก ระบบของรัฐบาลขึ้นอยู่กับการปรับใช้และข้อมูลที่ระบบเก็บต้องเป็นไปตามเกณฑ์ที่แน่นอนก่อนที่จะถูกนำมาใช้
ในที่สุดความปลอดภัยคือการจัดการความเสี่ยงและเลือกระดับความพยายามที่เหมาะสม
การรักษาความปลอดภัยยังเป็นความพยายามอย่างต่อเนื่องไม่ใช่สิ่งที่คุณเพียงแค่เปิดใช้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.