Minha política corporativa diz que as caixas Linux devem ser protegidas com o SELinux (para que um auditor de segurança possa marcar a caixa de seleção 'sim, estamos extremamente seguras!' para cada servidor). Eu esperava aproveitar a incrível segurança padrão do AppArmor do Ubuntu. Não é sensato executar o Apparmor e o SELinux? (Em caso afirmativo, esta má idéia pode ser mitigada com alguns ajustes de apparmor e / ou selinux?)
[ 1 Mais precisamente, a estrutura de interface dos Módulos de Segurança do Linux foi projetada para uma única implementação em execução e não suporta mais do que uma única implementação em execução. ]
O Kernel Linux fornece a interface Linux Security Module , da qual o SELinux e o AppArmor são implementações. (Outros incluem TOMOYO, Smack, ...) Essa interface é projetada atualmente para permitir que apenas um único LSM esteja operacional por vez. Não há como executar dois simultaneamente, então você deve escolher um. Tem havido discussões de tempos em tempos sobre como "empilhar" múltiplos LSMs, mas isso ainda não foi feito.
Eu não usaria os dois.
Tanto o SELinux quanto o AppArmor fazem a mesma coisa básica: limitar o acesso a arquivos e pastas apenas aos aplicativos que realmente precisam de acesso.
Mas ambos implementam essa ideia de maneiras muito diferentes.
(Esta é uma explicação muito básica de como o SELinux e o AppArmor operam.)
Se você fosse usar os dois, eles provavelmente ficariam um com o outro, e eu realmente não vejo necessidade ou vantagem de usar os dois.
Tags permissions security apparmor