У меня есть два ноутбука Fedora и домашний сервер CentoOS, но я единственный человек, который использует любой из них, за исключением общего ресурса smb, который использует член семьи. Есть ли у SELinux реальная выгода, если на моих машинах нет других постоянных пользователей? Есть ли веская причина не просто выключать его?
3 ответа
8
Selinux для обеспечения типов процессов. Это не то же самое, что изоляция пользователя.
Чтобы получить действительно простое руководство по пониманию SELinux, взгляните на книжку-раскраску SELinux (да, это действительно книжка-раскраска).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
Для рабочей станции SELinux не так важен, как на сервере. Однако это предотвратило бы доступ неавторизованного процесса к другим процессам.
4
Если у вас правильно настроены права пользователей и групп, вас не должны беспокоить другие обычные пользователи.
SELinux предназначен для того, чтобы защитить вас от ошибок, то есть от того, что кто-то воспользовался ошибками программы или конфигурации, чтобы заставить ваш компьютер сделать что-то, что не в ваших интересах. Это может быть использование сетевых демонов, работающих на вашем компьютере, браузере или некотором программном обеспечении, которое вы загрузили и выполнили. Даже подключение некоторых устройств, таких как вредоносные USB-накопители, может быть опасным.
Конечно, SELinux должен быть правильно настроен для защиты вашего компьютера. Если это не так, вы можете отключить его.
4
Да.
SELinux предназначен для песочницы приложений, поэтому они могут выполнять только определенные утвержденные функции. Например, если сайт обманул ваш браузер для загрузки и установки RASKit, SELinux (при условии, что ваш профиль определен правильно) не позволит установить RASKit.
В дополнение к приложениям, которые получают удаленный ввод, таким как браузеры, SELinux (еще раз, при правильном использовании) также защищает от мошеннических приложений, маскируясь под доверенные. Если ваши репозитории дистрибутивов, например, компрометированы и обмануты в сбрасывании плохих версий обновлений ваших приложений, SELinux должен помешать им предпринимать действия, которые не были разрешены законной версией.
Обязательное управление доступом не столько о пользователях, сколько о приложениях, а SELinux или AppArmor предназначены для предотвращения превышения ожидаемыми уровнями привилегий этих приложений. Это особенно важно для приложений, которые вы запускаете от имени пользователя root.