Apakah itu ide yang buruk untuk menjalankan SELinux dan AppArmor secara bersamaan?

27

Kebijakan perusahaan saya mengatakan bahwa kotak Linux harus diamankan dengan SELinux (sehingga auditor keamanan dapat memeriksa kotak centang 'ya, kami sangat aman!' Untuk setiap server). Saya berharap untuk mengambil keuntungan dari keamanan AppArmor default Ubuntu yang mengagumkan. Apakah tidak bijaksana menjalankan Apparmor dan SELinux? (Jika demikian, bisakah ide buruk ini dikurangi dengan beberapa penyesuaian apparmor dan / atau selinux?)

belacqua
sumber

Jawaban:

26

Kernel Linux menyediakan antarmuka Modul Keamanan Linux , di mana SELinux dan AppArmor keduanya merupakan implementasi dari. (Lainnya termasuk TOMOYO, Smack, ...) Antarmuka ini dirancang saat ini hanya untuk memungkinkan satu LSM untuk beroperasi sekaligus. Tidak ada cara untuk menjalankan dua secara bersamaan, jadi Anda harus memilih satu. Telah ada diskusi dari waktu ke waktu tentang cara "menumpuk" beberapa LSM, tetapi ini belum dilakukan.

Kees Cook
sumber
6
SELinux dan AppArmor bukan implementasi dari antarmuka Linux Security Module (LSM). Mereka adalah konsumen dari antarmuka LSM.
ruief
17

Saya tidak akan menggunakan keduanya.

Baik SELinux dan AppArmor melakukan hal dasar yang sama: membatasi akses ke file dan folder hanya untuk aplikasi yang benar-benar membutuhkan akses.

Tetapi keduanya mengimplementasikan ide ini dengan cara yang sangat berbeda.

  • SELinux melampirkan label untuk setiap file di sistem file Anda dan membatasi akses aplikasi ke label tertentu.
    Sebagai contoh: Apache hanya dapat menggunakan file dan folder yang dilabeli secara eksplisit sebagai file web, dan aplikasi lain tidak bisa.
  • AppArmor melakukan hal yang sama tanpa menggunakan label, itu hanya menggunakan jalur file.

(Ini adalah penjelasan yang sangat mendasar tentang cara kerja SELinux dan AppArmor.)

Jika Anda menggunakan keduanya, mereka mungkin akan saling menghalangi, dan saya benar-benar tidak melihat kebutuhan atau keuntungan untuk menggunakan keduanya.

Kenny Rasschaert
sumber