È una cattiva idea eseguire SELinux e AppArmor contemporaneamente?

La mia politica aziendale afferma che le scatole di Linux devono essere protette con SELinux (in modo che un revisore della sicurezza possa selezionare la casella di controllo "sì, siamo estremamente sicuri!" Per ciascun server). Speravo di sfruttare la straordinaria sicurezza AppArmor predefinita di Ubuntu. Non è saggio eseguire sia Apparmor che SELinux? (Se è così, questa cattiva idea può essere mitigata con alcune modifiche apparmor e / o selinux?)

Il kernel Linux fornisce l' interfaccia del modulo di sicurezza Linux , di cui SELinux e AppArmor sono entrambe implementazioni. (Altri includono TOMOYO, Smack, ...) Questa interfaccia è progettata attualmente per consentire a un solo LSM di essere operativo alla volta. Non è possibile eseguirne due contemporaneamente, quindi è necessario sceglierne uno. Di tanto in tanto si è discusso di come "impilare" più LSM, ma questo non è stato ancora fatto.

Non userei entrambi.

Sia SELinux che AppArmor fanno la stessa cosa di base: limitare l'accesso a file e cartelle solo alle applicazioni che hanno davvero bisogno di accesso.

Ma entrambi implementano questa idea in modi molto diversi.

• SELinux allega un'etichetta a ogni file nel tuo filesystem e limita l'accesso di un'applicazione a determinate etichette.
  Ad esempio: Apache può utilizzare solo file e cartelle etichettati esplicitamente come file Web e altre applicazioni non possono.
• AppArmor realizza la stessa cosa senza usare etichette, utilizza solo percorsi di file.

(Questa è una spiegazione molto basilare del funzionamento di SELinux e AppArmor.)

Se dovessi usare entrambi, probabilmente si metterebbero l'uno nell'altro, e non vedo davvero alcun bisogno o vantaggio nell'usarli entrambi.