Назад | Перейти на главную страницу

SELinux в реальном мире

Благодаря моему (короткому) опыту работы на сегодняшний день я получил довольно много знаний о том, как работает SELinux, с точки зрения реализации и о том, как им управлять.

У меня лично есть несколько проблем с SELinux, например, он кажется слишком сложным во многих отношениях, так что безопасность кажется очень трудной для обсуждения. Итак, я хотел бы знать, насколько отрасль тепло относится к SELinux.

Вы используете SELinux на одном из своих производственных серверов? Если да, то какой у вас успех? Серьезно не разглашать подробностей, но работаете ли вы в организации, которая связана с правительством (Министерство обороны / Министерство юстиции, подрядчик по обороне и т. Д.)? Существуют ли неправительственные компании, которым это полезно?

Многие магазины, о которых я знаю, хотели бы использовать SELinux, но не могут. Многие поставщики, которые создают свои продукты для RHEL, например, явно требуют отключения SELinux. Пока такие соединения, как Oracle, не поддерживают SELinux должным образом, я не вижу, чтобы он стал популярным, за исключением веб-серверов (на которых я бы всегда Оставь это на!) SELinux больше не такой сложный. Если вы посмотрите на RHEL4 и RHEL5 и сравните, насколько сложен SELinux для обоих, разница будет огромной. Если вы сравните Fedora 11 с RHEL5, разница снова будет огромной. Большие успехи сделаны, но пока такие парни, как Oracle, считают, что SELinux не заслуживает поддержки, вы будете видеть, как многие люди его отключают.

SELinux хорошо показывает всю сложность всей системы Linux. Современные системы Fedora и RHEL привлекают много внимания [SELinux], и по большей части вы не будете знать, что SELinux «работает» (это не демон, это в основном хуки в ядре в сочетании с политикой безопасности для принятия решений) .

Интересным (иногда разочаровывающим) аспектом безопасности является вопрос «что он делает?» или «это работает?». Хорошо, если это работает, вы никогда не узнаете. Если у вас запущен веб-сервер, и он только что не работал, то вы могли не знать, что против вашей системы даже применялась пара эксплойтов.

Что касается правительства, то есть общедоступные источники (список правительственных проектов и т.п.), которые, кажется, указывают на то, что MAC (обязательный контроль доступа, т.е. SELinux) используется и, возможно, довольно интенсивно. Государственные системы, в зависимости от развертывания и того, какая информация в системе хранится, должны соответствовать определенным критериям перед использованием.

Что касается частных компаний, я не знаю. Если им нужна целостность, которую SELinux привносит в таблицу, то они должны это сделать.

В конце концов, безопасность - это действительно управление рисками и выбор правильного уровня усилий. Кроме того, безопасность - это постоянное усилие, а не то, что вы просто включаете.

Вам не нужно настраивать SELinux и писать собственные профили, если вы просто хотите обеспечить дополнительный уровень безопасности для многих известных серверов и демонов. Конфигурация по умолчанию в некоторых хороших дистрибутивах Linux повысит уровень безопасности вашей системы в случае атаки службы с помощью работающего эксплойта.