Я подошел к моменту, когда мне нужно перейти на новый сервер. Хотя я знаю о преимуществах SELinux, необходимо ли оставлять SELinux включенным, если брандмауэр / шлюз предназначен только для маршрутизации трафика к различным хостам назначения.
Пользователи не будут входить в систему и хранить какие-либо данные на брандмауэре. Насколько важно в этом случае использование SELinux?
Сделает ли это брандмауэр более безопасным или SELinux будет излишне усложнять ситуацию? Заранее благодарим за совет.
SELinux - отличный компонент для обеспечения безопасности. Есть масса преимуществ его настройки для ваших серверов, вне зависимости от того, являются ли они общедоступными или нет. Брандмауэры отлично справляются с фильтрацией нежелательной или вредоносной активности, но недостатки в вашей безопасности все еще могут быть использованы внешними эксплойтами, а также внутренними ошибками в конфигурации или ошибочным программным обеспечением.
Хотя вы можете обойтись без SELinux на вашем брандмауэре / маршрутизаторе, он ограничит объем нарушений, если кто-то проникнет в ваш ящик. Одна из концепций дизайна SELinux заключалась в том, чтобы ограничить службы так, чтобы они не могли выйти за пределы своего соответствующего доступа - поэтому, даже если кто-то получит повышенные привилегии или нарушит уровень вашей безопасности, у него не будет полного доступа ко всему вашему маршрутизатору или даже всей внутренней сети.
Вот хорошее краткое объяснение SELinux. Что касается того, как его использовать, потратьте некоторое время на просмотр некоторых видеороликов об этом - это не слишком сложно, но требует, чтобы вы переосмыслили, как защитить файлы и службы в системе Linux.