Por que precisamos do SELinux?

13

Eu não poderia ter muita idéia de onde o SELinux foi usado e o que ele salva do invasor. Eu passei pelo site do SELinux e li o básico, mas ainda não entendi o SELinux. Para o sistema Linux que fornece o shell SSH, o front end do Apache, o aplicativo da Web baseado em função, o banco de dados MySQL, quase todos os sistemas são protegidos por senha, então por que precisamos do SELinux?

    
por Krish 29.12.2009 / 05:51

5 respostas

14

Você pode ver o SELinux como um firewall de chamadas do sistema : Uma política para cada aplicativo especifica o que é razoável para o aplicativo: O servidor de nomes pode escutar na porta 53, trabalhar com alguns arquivos de zona um diretório em particular, envie syslog, ..., mas não faz sentido tentar trabalhar com arquivos em / home, por exemplo. A aplicação de tal política pelo SELinux significa que será muito mais difícil que uma fraqueza no servidor de nomes se espalhe para outras partes do sistema.

Acho que o SELinux fornece um valor real de segurança. Mas embora certamente tenha sido mais fácil trabalhar com o passar dos anos, é - infelizmente - ainda um sistema bastante complexo. A coisa boa é que você pode facilmente desativá-lo para alguns serviços, sem ter que desativá-lo para todo o sistema. Muitos administradores do junior do SELinux (júnior?), Assim que se deparam com o menor problema com um serviço - em vez de seletivamente desligá-lo para o serviço, causando problemas.

    
por 29.12.2009 / 16:54
8

Nem todos os problemas de segurança podem ser previstos com antecedência. Se um invasor consegue explorar uma fraqueza em, e. Em um módulo httpd de terceiros, eles têm acesso aos mesmos arquivos que o usuário httpd está executando. O SELinux restringe ainda mais isso, limitando-os a ações e contextos de arquivo aos quais seu domínio SELinux tem acesso.

    
por 29.12.2009 / 06:02
4
por 29.12.2009 / 09:51
2

Acho que o termo Controle de acesso obrigatório resume tudo muito bem. O SELinux oferece um sistema mais seguro através de um kernel mais seguro, em grande parte devido a uma implementação do MAC.

    
por 29.12.2009 / 06:02
2
O

SELinux faz um bom trabalho ao expor a enorme complexidade de todo um sistema Linux.
Um aspecto interessante da segurança é a questão "o que está fazendo?" Bem, se está funcionando, você pode nunca saber. Se você estiver executando um servidor da Web e ele estiver apenas sendo mantido, talvez você não saiba que alguns exploits foram tentados em seu sistema. Quanto às empresas privadas, não sei. Se eles precisam da integridade que o SELinux traz para a mesa, então eles deveriam. Quanto ao Governo, existem fontes públicas (listagem de projetos governamentais e similares) que parecem apontar para o fato de o MAC estar sendo usado e, possivelmente, muito pesadamente. Os sistemas do governo, dependendo da implantação e das informações que um sistema contém, precisam atender a determinados critérios antes de serem usados. No final, a segurança é realmente o gerenciamento de riscos e a escolha do nível certo de esforço. Também segurança é um esforço contínuo, não algo que você simplesmente liga.

    
por 29.12.2009 / 15:43