Apakah SELinux memberikan keamanan ekstra yang cukup agar tidak perlu repot mempelajari / mengaturnya?

17

Saya baru saja menginstal Fedora 14 di PC rumah saya dan telah bekerja pada pengaturan berbagai fitur terkait server seperti apache, mysql, ftp, vpn, ssh, dll. Saya berlari sangat cepat ke penghalang rasanya ketika saya menemukan SELinux yang Saya belum pernah mendengar sebelumnya. Setelah melakukan riset, sepertinya kebanyakan orang berpendapat bahwa Anda harus menonaktifkannya dan tidak berurusan dengan kerumitan itu. Secara pribadi jika itu benar-benar menambah keamanan saya tidak menentang berurusan dengan sakit kepala belajar bagaimana mengaturnya dengan tepat. Akhirnya saya berencana membuka jaringan saya sehingga pc ini dapat diakses dari jarak jauh tetapi saya tidak ingin melakukan itu sampai saya yakin itu aman (kurang lebih). Jika Anda telah mengaturnya dan membuatnya berfungsi dengan benar, apakah Anda merasa itu sepadan dengan waktu dan kerumitan? Apakah ini benar-benar lebih aman? Jika Anda memilih untuk tidak menggunakannya, apakah keputusan itu didasarkan pada penelitian yang layak dipertimbangkan dalam situasi saya juga?

linux security selinux Kenneth
sumber
2
harap diingat bahwa pola pikir keamanan yang baik adalah bahwa tidak ada keamanan yang harus lebih mahal untuk diterapkan daripada nilai yang dilindungi. Jadi jika waktu Anda bernilai $ 50 per jam, dan Anda akan membutuhkan 8 jam untuk mengimplementasikan SELinux, tetapi hanya akan memakan waktu 1 jam rata-rata untuk memperbaiki, dan mungkin $ 50 untuk mengganti perangkat ... (berpikir router soho) itu bukan sebanding dengan biaya penerapan SELinux. Namun jika data Anda tidak tergantikan, dan bukan kompromi akan membutuhkan biaya jutaan tetapi akan membutuhkan 100rb untuk mengimplementasikan ... itu layak dilakukan.
xenoterracide

Jawaban:

10

SELinux meningkatkan keamanan lokal dengan meningkatkan isolasi antara proses dan memberikan kebijakan keamanan yang lebih baik.

Untuk mesin multi-pengguna, ini dapat bermanfaat karena kebijakan yang lebih fleksibel, dan ini meningkatkan lebih banyak hambatan di antara pengguna sehingga menambah perlindungan terhadap pengguna lokal yang jahat.

Untuk server, SELinux dapat mengurangi dampak kerentanan keamanan di server. Di mana penyerang mungkin bisa mendapatkan hak pengguna lokal atau root, SELinux mungkin hanya memungkinkannya untuk menonaktifkan satu layanan tertentu.

Untuk penggunaan di rumah yang umum, di mana Anda akan menjadi satu-satunya pengguna dan Anda ingin segala sesuatu dari jarak jauh setelah diautentikasi, Anda tidak akan mendapatkan keamanan apa pun dari SELinux.

Gilles 'SANGAT berhenti menjadi jahat'
sumber
tetapi jika saya berencana menjadikannya server yang orang lain dapat masuk ke jarak jauh dengan kredensial mereka sendiri, saya masih bisa mendapatkan manfaat dari pengaturan yang benar? Itu tidak ada dalam rencana segera tetapi pada akhirnya bisa menjadi ...
Kenneth
@ Kenenneth: Semakin banyak layanan yang Anda jalankan, dan semakin banyak pengguna yang Anda miliki, semakin banyak keamanan yang dapat SELinux bawa. Pada ekstrem dari mesin satu pengguna dengan hanya ssh, SELinux tidak ada gunanya. Selain itu, ya, ini berguna, tetapi ini adalah investasi besar. Selalu ingat bahwa alat keamanan yang kurang dipahami adalah kewajiban, karena Anda mungkin mendapatkan rasa aman yang salah jika Anda terlalu percaya diri tentang kemampuannya, dan ada risiko bahwa Anda akan salah mengkonfigurasi dan memperkenalkan lubang keamanan.
Gilles 'SANGAT berhenti menjadi jahat'
1
@Kenneth - sisi positif dari mempelajarinya sekarang, adalah bahwa jika Anda benar-benar membutuhkannya dalam kemarahan, Anda akan telah belajar banyak kelemahannya ... dan ia memiliki beberapa :-)
Rory Alsop
1
SELinux dapat memiliki manfaat kuat untuk digunakan di rumah. Saya akan menguraikan lebih lanjut nanti.
mattdm
1
SELinux dapat melakukan hal-hal yang brilian, bahkan pada mesin pengguna tunggal, seperti aplikasi sandboxing.
wzzrd
5

Masalah dengan SELinux untuk orang-orang non-IT seperti saya adalah ia tidak mengidentifikasi dirinya sebagai penyebab masalah perizinan - dengan kata lain kesalahan yang Anda dapatkan tidak dapat dibedakan dari kesalahan lain yang lebih umum dan SELinux adalah tempat terakhir yang akan Anda lihat atau untuk itu Anda akan bisa mendapatkan jawaban di depan umum. Ini adalah jenis fitur IMO terburuk.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Jeremy Leipzig
sumber