4

У меня есть два ноутбука Fedora и домашний сервер CentoOS, но я единственный человек, который использует любой из них, за исключением общего ресурса smb, который использует член семьи. Есть ли у SELinux реальная выгода, если на моих машинах нет других постоянных пользователей? Есть ли веская причина не просто выключать его?

3 ответа3

8

Selinux для обеспечения типов процессов. Это не то же самое, что изоляция пользователя.

Чтобы получить действительно простое руководство по пониманию SELinux, взгляните на книжку-раскраску SELinux (да, это действительно книжка-раскраска).

https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf

Для рабочей станции SELinux не так важен, как на сервере. Однако это предотвратило бы доступ неавторизованного процесса к другим процессам.

http://stopdisablingselinux.com

4

Если у вас правильно настроены права пользователей и групп, вас не должны беспокоить другие обычные пользователи.

SELinux предназначен для того, чтобы защитить вас от ошибок, то есть от того, что кто-то воспользовался ошибками программы или конфигурации, чтобы заставить ваш компьютер сделать что-то, что не в ваших интересах. Это может быть использование сетевых демонов, работающих на вашем компьютере, браузере или некотором программном обеспечении, которое вы загрузили и выполнили. Даже подключение некоторых устройств, таких как вредоносные USB-накопители, может быть опасным.

Конечно, SELinux должен быть правильно настроен для защиты вашего компьютера. Если это не так, вы можете отключить его.

4

Да.

SELinux предназначен для песочницы приложений, поэтому они могут выполнять только определенные утвержденные функции. Например, если сайт обманул ваш браузер для загрузки и установки RASKit, SELinux (при условии, что ваш профиль определен правильно) не позволит установить RASKit.

В дополнение к приложениям, которые получают удаленный ввод, таким как браузеры, SELinux (еще раз, при правильном использовании) также защищает от мошеннических приложений, маскируясь под доверенные. Если ваши репозитории дистрибутивов, например, компрометированы и обмануты в сбрасывании плохих версий обновлений ваших приложений, SELinux должен помешать им предпринимать действия, которые не были разрешены законной версией.

Обязательное управление доступом не столько о пользователях, сколько о приложениях, а SELinux или AppArmor предназначены для предотвращения превышения ожидаемыми уровнями привилегий этих приложений. Это особенно важно для приложений, которые вы запускаете от имени пользователя root.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .