Этот вопрос, вероятно, является личным мнением, но я хотел собрать ваши мысли о том, насколько важно включение SELinux на веб-сервере.
На ваш взгляд, необходима дополнительная безопасность или просто приятно иметь? Стоит ли этого хита производительности? Стоит ли хлопот? Вы порекомендуете альтернативу (например, mod_security)?
Жду всех желающих услышать!
Честно говоря, я не думаю, что это того стоит. Да, это обеспечивает дополнительный уровень безопасности, но за значительную плату. Безопасность не абсолютна; все, что вам нужно сделать, это быть лучше, чем другие цели, которые подвержены аналогичному риску быть нацеленной (или которые имеют аналогичное преимущество для злоумышленника, если они скомпрометированы). Учитывая количество серверов, которые все еще можно открыть с помощью простого перебора паролей, тривиальных уязвимостей веб-приложений и сильно устаревших уровней исправлений, если вы действительно делаете все это, то вы настолько неуязвимы по сравнению с миллионами других систем, ваш риск вторжения уже настолько низок, что не стоит никаких дополнительных усилий.
Это, конечно, при условии, что ваш анализ риска сосредоточен вокруг нецелевых атак. Если вы, вероятно, станете целью особо опытного или мотивированного злоумышленника (либо потому, что вы ценная цель, например, банк, либо люди особенно хотят вас убить, как Sony), тогда вы мощь хочу взглянуть на SELinux или другие нишевые продукты безопасности.