เป็นความคิดที่ดีหรือไม่ที่จะเรียกใช้ SELinux และ AppArmor ในเวลาเดียวกัน?


27

นโยบายองค์กรของฉันบอกว่ากล่อง Linux ต้องปลอดภัยด้วย SELinux (เพื่อให้ผู้ตรวจสอบความปลอดภัยสามารถตรวจสอบช่องทำเครื่องหมาย 'ใช่เรามีความปลอดภัยมาก!' สำหรับแต่ละเซิร์ฟเวอร์) ฉันหวังว่าจะใช้ประโยชน์จากความปลอดภัย AppArmor ที่เป็นค่าเริ่มต้นของ Ubuntu มันไม่ฉลาดเลยที่จะเรียกใช้ทั้ง Apparmor และ SELinux? (ถ้าเป็นเช่นนั้นความคิดที่ไม่ดีนี้จะสามารถลดลงด้วย apparmor และ / หรือปรับแต่ง selinux?)

คำตอบ:


26

เคอร์เนล Linux จัดเตรียมอินเตอร์เฟสโมดูลความปลอดภัยของ Linuxซึ่ง SELinux และ AppArmor เป็นทั้งการประยุกต์ใช้ (อื่น ๆ รวมถึง TOMOYO, Smack, ... ) อินเทอร์เฟซนี้ได้รับการออกแบบมาเพื่อให้สามารถใช้งาน LSM ครั้งเดียวในแต่ละครั้ง ไม่มีวิธีการรันสองพร้อมกันดังนั้นคุณต้องเลือกหนึ่งรายการ มีการพูดคุยกันเป็นครั้งคราวเกี่ยวกับวิธี "ซ้อน" LSM หลายครั้ง แต่ยังไม่ได้ดำเนินการ


6
SELinux และ AppArmor ไม่ใช่การนำไปปฏิบัติของอินเตอร์เฟสความปลอดภัยของ Linux (LSM) พวกเขาเป็นผู้บริโภคส่วนต่อประสาน LSM
ruief

17

ฉันจะไม่ใช้ทั้งสองอย่าง

ทั้ง SELinux และ AppArmor ทำสิ่งพื้นฐานเดียวกันนั่นคือ จำกัด การเข้าถึงไฟล์และโฟลเดอร์เฉพาะแอพพลิเคชั่นที่จำเป็นต้องเข้าถึงเท่านั้น

แต่ทั้งคู่นำแนวคิดนี้ไปใช้ในวิธีที่แตกต่างกันมาก

  • SELinux แนบเลเบลกับทุกไฟล์ในระบบไฟล์ของคุณและ จำกัด การเข้าถึงแอพพลิเคชั่นสำหรับบางเลเบล
    ตัวอย่างเช่น: Apache สามารถใช้ไฟล์และโฟลเดอร์ที่ติดป้ายอย่างชัดเจนว่าเป็นไฟล์เว็บและแอปพลิเคชันอื่น ๆ ไม่สามารถทำได้
  • AppArmor ทำสิ่งเดียวกันโดยไม่ต้องใช้ป้ายชื่อ แต่ใช้เส้นทางไฟล์

(นี่เป็นคำอธิบายพื้นฐานอย่างมากเกี่ยวกับการทำงานของ SELinux และ AppArmor)

หากคุณใช้ทั้งสองอย่างพวกเขาอาจจะเข้าหากันและฉันไม่เห็นความต้องการหรือข้อได้เปรียบในการใช้ทั้งสองอย่าง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.