นโยบายองค์กรของฉันบอกว่ากล่อง Linux ต้องปลอดภัยด้วย SELinux (เพื่อให้ผู้ตรวจสอบความปลอดภัยสามารถตรวจสอบช่องทำเครื่องหมาย 'ใช่เรามีความปลอดภัยมาก!' สำหรับแต่ละเซิร์ฟเวอร์) ฉันหวังว่าจะใช้ประโยชน์จากความปลอดภัย AppArmor ที่เป็นค่าเริ่มต้นของ Ubuntu มันไม่ฉลาดเลยที่จะเรียกใช้ทั้ง Apparmor และ SELinux? (ถ้าเป็นเช่นนั้นความคิดที่ไม่ดีนี้จะสามารถลดลงด้วย apparmor และ / หรือปรับแต่ง selinux?)
คำตอบ:
เคอร์เนล Linux จัดเตรียมอินเตอร์เฟสโมดูลความปลอดภัยของ Linuxซึ่ง SELinux และ AppArmor เป็นทั้งการประยุกต์ใช้ (อื่น ๆ รวมถึง TOMOYO, Smack, ... ) อินเทอร์เฟซนี้ได้รับการออกแบบมาเพื่อให้สามารถใช้งาน LSM ครั้งเดียวในแต่ละครั้ง ไม่มีวิธีการรันสองพร้อมกันดังนั้นคุณต้องเลือกหนึ่งรายการ มีการพูดคุยกันเป็นครั้งคราวเกี่ยวกับวิธี "ซ้อน" LSM หลายครั้ง แต่ยังไม่ได้ดำเนินการ
ฉันจะไม่ใช้ทั้งสองอย่าง
ทั้ง SELinux และ AppArmor ทำสิ่งพื้นฐานเดียวกันนั่นคือ จำกัด การเข้าถึงไฟล์และโฟลเดอร์เฉพาะแอพพลิเคชั่นที่จำเป็นต้องเข้าถึงเท่านั้น
แต่ทั้งคู่นำแนวคิดนี้ไปใช้ในวิธีที่แตกต่างกันมาก
(นี่เป็นคำอธิบายพื้นฐานอย่างมากเกี่ยวกับการทำงานของ SELinux และ AppArmor)
หากคุณใช้ทั้งสองอย่างพวกเขาอาจจะเข้าหากันและฉันไม่เห็นความต้องการหรือข้อได้เปรียบในการใช้ทั้งสองอย่าง