web-dev-qa-db-ja.com

SELinuxは、それを学習/設定する手間をかけるだけの価値がある十分な追加のセキュリティを提供しますか?

最近、自宅のPCにFedora 14をインストールし、Apache、mysql、ftp、vpn、sshなどのさまざまなサーバー関連機能のセットアップに取り組んでいます。SELinuxを発見したときのような障壁に非常にすばやく遭遇しました。私は以前に聞いたことがありませんでした。いくつかの調査を行った後、ほとんどの人はそれを単に無効にして面倒に対処するべきではないという意見であるように思われました。個人的にそれが本当により多くのセキュリティを追加するならば、私はそれを適切に設定する方法を学ぶことの頭痛に対処することに反対していません。結局、このPCにリモートでアクセスできるようにネットワークを開放する予定ですが、安全か(多かれ少なかれ)確信できるまでは、そうしたくないのです。セットアップして正しく機能するようになったら、時間と手間をかけるだけの価値があると思いますか?それは本当にもっと安全ですか?あなたがそれを使用することをオプトアウトした場合、それは私の状況でも検討する価値のある研究に基づいた決定でしたか?

17
Kenneth

SELinuxは、プロセス間の分離を改善し、より詳細なセキュリティポリシーを提供することにより、ローカルセキュリティを強化しました。

マルチユーザーマシンの場合、これはポリシーがより柔軟であるため便利であり、ユーザー間の障壁が高くなるため、悪意のあるローカルユーザーに対する保護が追加されます。

サーバーの場合、SELinuxはサーバーのセキュリティ脆弱性の影響を減らすことができます。攻撃者がローカルユーザーまたはルート権限を取得できる可能性がある場合、SELinuxは攻撃者に1つの特定のサービスの無効化のみを許可する可能性があります。

一般的な家庭での使用では、あなたが唯一のユーザーであり、一度認証されるとすべてをリモートで実行できるようにしたい場合、SELinuxからセキュリティを得ることができません。

私のようなIT以外の人々にとってのSELinuxの問題は、アクセス許可の問題の原因として自分自身を識別しないことです。言い換えると、発生するエラーは他のより一般的なエラーと区別できず、SELinuxは最後に見る場所です。公開で回答を得ることができます。これは最悪のタイプの機能IMOです。

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

5
Jeremy Leipzig