SELinuxがどこで使用され、攻撃者から何が節約されるのか、私にはよくわかりませんでした。私はSELinuxのWebサイトを読み、基本を読みましたが、まだSELinuxについての手がかりがありません。 SSHシェル、Apacheフロントエンド、ロールベースのWebアプリケーション、MySQL DB、memcachedを提供するLinuxシステムの場合、ほとんどすべてのシステムがパスワードで保護されているのに、なぜSELinuxが必要なのでしょうか?
SELinuxをsystem-call firewallとして表示できます。各アプリケーションのポリシーは、アプリケーションが実行するのに適切なことを指定します:ネームサーバーはポート53でリッスンし、特定のディレクトリ内のいくつかのゾーンファイルで動作します、syslogなどを送信しますが、たとえば/ home内のファイルを操作しようとしても意味がありません。 SELinuxがこのようなポリシーを実施することは、ネームサーバーの弱点がシステムの他の部分に広がることがはるかに困難になることを意味します。
SELinuxが実際のセキュリティ価値を提供することがわかりました。しかし、年月を重ねるごとに作業が容易になったことは確かですが、残念ながら、それでもシステムはかなり複雑です。良い点は、システム全体でオフにする必要なしに、一部のサービスでは簡単にオフにできることです。 1つのサービスでわずかな問題が発生するとすぐに、システム管理者がSELinuxを過度に(少なからず)使いすぎて-問題を引き起こすサービスに対して選択的にオフにするのではなく、.
すべてのセキュリティ問題を事前に予測できるわけではありません。攻撃者がなんとかして脆弱性を悪用した場合。サードパーティのhttpdモジュールは、ユーザーhttpdが実行しているのと同じファイルにアクセスできます。 SELinuxは、SELinuxドメインがアクセスできるアクションとファイルコンテキストに制限することで、これをさらに制限します。
Mandatory Access Control という用語は、かなり上手くまとめていると思います。 SELinuxは、主にMAC実装により、より安全なカーネルを通じてより安全なシステムを提供します。
SELinuxは、Linuxシステム全体の複雑さを明らかにするのに優れています。
セキュリティの興味深い側面は、「何をしているのか」という質問です。
もしそれが機能しているなら、あなたは決して知らないかもしれません。 Webサーバーを実行していて、それがまだ稼働している場合は、システムに対していくつかのエクスプロイトが試行されたことさえ知らない可能性があります。
私企業についてはわかりません。 SELinuxがもたらす完全性が必要な場合は、必要です。
政府に関しては、そのMACが使用されていることを示唆しているように見える公共の情報源(政府プロジェクトのリストなど)があり、かなりの確率で可能です。政府のシステムは、展開とシステムが保持する情報に応じて、使用する前に特定の基準を満たす必要があります。
結局のところ、セキュリティは本当にリスク管理であり、適切なレベルの作業を選択することです。
また、セキュリティは継続的な取り組みであり、単にオンにするだけのものではありません。