Linux

防火牆/路由器上的 SELinux 和 iptables

  • December 2, 2015

我已經到了需要遷移到新伺服器的地步。雖然我知道 SELinux 的優勢,但是當防火牆/網關僅用於將流量路由到不同的目標主機時,是否有必要保持啟用 SELinux。

使用者不會登錄或在防火牆上儲存任何數據。在這種情況下使用 SELinux 有多重要?

它會使防火牆更安全,還是 SELinux 會使事情變得不必要地複雜化?提前感謝您的建議。

SELinux 是一個很好的安全組件。為您的伺服器配置它有很多好處,無論它們是否面向公眾。防火牆在過濾掉不需要的或惡意的活動方面做得很好,但您的安全漏洞仍然可以被外部漏洞利用以及配置或錯誤軟體中的內部缺陷所利用。

雖然您可以在防火牆/路由器上沒有 SELinux 的情況下逃脫,但如果有人闖入您的盒子,它將限制違規範圍。SELinux 的設計理念之一是限制服務,使它們不能超越其適當的訪問權限——因此,即使有人獲得了升級權限或破壞了您的安全層,他們也無法完全訪問您的整個路由器甚至整個內部網路。

這是關於 SELinux 的簡短說明。至於如何使用它,花點時間看一些關於它的影片——它並不過分複雜,但它需要你重新思考如何保護 linux 系統中的文件和服務。

http://selinuxproject.org/page/FAQ

引用自:https://serverfault.com/questions/740286