Linux

現實世界中的 SELinux

  • December 5, 2019

通過我迄今為止的(短暫的)工作經驗,從實施的角度以及如何管理它,我對 SELinux 的工作原理有了相當多的了解。

我個人對 SELinux 有幾個疑慮,例如它在許多方面似乎過於復雜,以至於安全性似乎很難推理。所以,我想知道這個行業對 SELinux 有多熱情。

您是否在其中一台生產伺服器上使用 SELinux?如果是這樣,你有什麼樣的成功?沒有認真洩露細節,但您是否為與政府有關的組織工作(DoD/DoJ、國防承包商等)?有沒有覺得這很有用的非政府公司?

SELinux 在暴露整個 Linux 系統的複雜性方面做得很好。現代 Fedora 和 RHEL 系統獲得了很多

$$ SELinux $$注意,在大多數情況下,您不會知道 SELinux 正在“執行”(它不是一個守護程序,它主要是核心中的鉤子以及用於決策的安全策略)。 安全性的一個有趣(有時令人沮喪)方面是“它在做什麼?”這個問題。或“它工作嗎?”。好吧,如果它有效,您可能永遠都不知道。如果您正在執行一個 Web 伺服器並且它一直在執行,那麼您可能不知道有幾個漏洞甚至被嘗試針對您的系統。

至於政府,有公共資源(政府項目清單等)似乎表明 MAC(強制訪問控制,即 SELinux)正在被使用,並且可能相當多。政府系統,取決於部署和系統保存的資訊,在使用之前必須滿足某些標準。

至於民營企業,我不知道。如果他們需要 SELinux 帶來的完整性,那麼他們應該這樣做。

歸根結底,安全實際上是風險管理和選擇正確的工作水平。此外,安全性是一項持續的努力,而不是您僅僅“打開”的東西

引用自:https://serverfault.com/questions/47922