ซอฟต์แวร์บริบทความปลอดภัยใดที่ Ubuntu ใช้

10

Ubuntu ใช้ SELinux เป็นค่าเริ่มต้นหรือไม่หากไม่บริบทการรักษาความปลอดภัยจะมีการจัดการอย่างไร ตัวอย่างเช่นการอนุญาตให้กระบวนการรันในฐานะรูทที่ไม่มีบริบทความปลอดภัยอาจมีความเสี่ยงด้านความปลอดภัย

หน้าความช่วยเหลือเกี่ยวกับ SELinuxแสดงให้เห็นว่า SELinux เป็นโปรแกรมที่จะต้องติดตั้งด้วยตนเอง

ดังนั้น Ubuntu จะจัดการกับบริบทด้านความปลอดภัยได้อย่างไร

security  process 
JohnMerlino
แหล่งที่มา

คำตอบ:

15

Ubuntu ใช้AppArmorซึ่งเป็นทางเลือกของ SELinux

Wikipediaให้คำแนะนำเกี่ยวกับสาเหตุที่บางคนคิดว่า AppArmor ดีกว่า SELinux:

AppArmor มีให้ในส่วนหนึ่งเป็นทางเลือกของ SELinux ซึ่งนักวิจารณ์คิดว่าเป็นเรื่องยากสำหรับผู้ดูแลระบบในการตั้งค่าและบำรุงรักษา แตกต่างจาก SELinux ซึ่งมีพื้นฐานมาจากการใช้ป้ายกำกับกับไฟล์ AppArmor ทำงานร่วมกับพา ธ ไฟล์ ผู้เสนอของ AppArmor อ้างว่ามันซับซ้อนน้อยกว่าและง่ายกว่าสำหรับผู้ใช้ทั่วไปที่จะเรียนรู้ได้มากกว่า SELinux พวกเขายังอ้างว่า AppArmor ต้องการการแก้ไขน้อยลงเพื่อทำงานกับระบบที่มีอยู่: ตัวอย่างเช่น SELinux ต้องการระบบไฟล์ที่รองรับ "ป้ายความปลอดภัย" และดังนั้นจึงไม่สามารถให้การควบคุมการเข้าถึงไฟล์ที่ติดตั้งผ่าน NFS AppArmor เป็นระบบที่ไม่เชื่อเรื่องพระเจ้า

Ubuntu จัดส่งโปรไฟล์ AppArmor มากมายสำหรับแอปพลิเคชันหลัก /etc/apparmor.d/คุณสามารถพบพวกเขาใน หากคุณต้องการแก้ไขโปรไฟล์เริ่มต้นคุณสามารถแทนที่การตั้งค่า/etc/apparmor.d/local/ได้

Ubuntu ยังมีเรือที่เรียกว่า "abstractions" ซึ่งเป็นวิธีที่จะช่วยให้คุณเขียนโปรไฟล์ AppArmor ของคุณได้อย่างรวดเร็วโดยไม่ต้องทำซ้ำ ( หลักการ DRY ที่มีชื่อเสียง)

สิ่งหนึ่งที่สำคัญที่ควรทราบคือโปรไฟล์ AppArmor สำหรับ Firefox ถูกปิดใช้งานตามค่าเริ่มต้นเนื่องจากอาจมีการ จำกัด ผู้ใช้จำนวนมากเกินไป อย่างไรก็ตามคุณสามารถเปิดใช้งานได้ตามที่อธิบายไว้ในเอกสาร :

sudo aa-enforce /etc/apparmor.d/usr.bin.firefox

ถ้าคุณต้องการไปกับ SELinux คุณมีอิสระที่จะปิด AppArmor และติดตั้งแพ็คเกจselinux อย่างไรก็ตามโปรดทราบว่าการกำหนดค่าเริ่มต้นสำหรับ SELinux ใน Ubuntu นั้นมีข้อ จำกัด ไม่มากดังนั้นคุณต้องกำหนดค่าด้วยตนเอง

Andrea Corbellini
แหล่งที่มา
0

ตามที่คำตอบของ Andrea ชี้ให้เห็นว่า Ubuntu ใช้ AppArmor บริบท "เริ่มต้น" SELinux Ubuntu ใช้ขึ้นอยู่กับว่าคุณติดตั้ง SELinux อย่างไร (ผมเชื่อว่าselinux-defaultเป็นสิ่งที่คุณกำลังมองหา) แน่นอนถ้าคุณติดตั้งไม่ได้คุณควรกำหนดค่าตามรสนิยมของคุณ

Braiam
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.