SELinux fornisce abbastanza sicurezza extra per valere la seccatura di apprenderla / configurarla?

Di recente ho installato Fedora 14 sul mio PC di casa e ho lavorato sulla configurazione di diverse funzionalità relative al server come apache, mysql, ftp, vpn, ssh, ecc. Mi sono imbattuto molto rapidamente in una barriera che mi è sembrata quando ho scoperto SELinux che Non ne avevo mai sentito parlare. Dopo aver fatto qualche ricerca sembrava che la maggior parte delle persone fosse dell'opinione che dovessi semplicemente disabilitarla e non affrontare la seccatura. Personalmente, se davvero aggiunge più sicurezza, non sono contrario a gestire il mal di testa di imparare come impostarlo in modo appropriato. Alla fine ho intenzione di aprire la mia rete in modo che questo PC possa accedere in remoto ma non voglio farlo fino a quando non sono sicuro che sia sicuro (più o meno). Se lo hai impostato e funzionato correttamente, ritieni che ne sia valsa la pena e il fastidio? È davvero più sicuro? Se hai deciso di non utilizzarlo, quella decisione è stata fondata anche su ricerche che vale la pena considerare anche nella mia situazione?

linux security selinux

— Kenneth
fonte

tieni presente che una buona mentalità di sicurezza è che nessuna sicurezza dovrebbe costare di più da implementare rispetto al valore di ciò che protegge. Quindi, se il tuo tempo vale $ 50 l'ora, e ti impiegheranno 8 ore per implementare SELinux, ma ci vorrebbe solo 1 ora in media per riparare, e forse $ 50 per sostituire un dispositivo ... (pensando che ho un router) non lo è vale il costo di implementazione di SELinux. Tuttavia, se i tuoi dati sono insostituibili e non un compromesso costerebbe milioni, ma ci vorrebbero 100k per implementarlo ... ne vale la pena.

— xenoterracide,

Risposte:

SELinux ha migliorato la sicurezza locale migliorando l'isolamento tra i processi e fornendo politiche di sicurezza più dettagliate.

Per i computer multiutente, questo può essere utile a causa delle politiche più flessibili e aumenta le barriere tra gli utenti in modo da aggiungere protezione contro gli utenti locali dannosi.

Per i server, SELinux può ridurre l'impatto di una vulnerabilità di sicurezza in un server. Laddove l'attaccante potrebbe essere in grado di ottenere privilegi di utente locale o root, SELinux potrebbe consentirgli di disabilitare solo un servizio particolare.

Per un normale uso domestico, dove sarai l'unico utente e vorrai poter eseguire tutto da remoto una volta autenticato, non otterrai alcuna sicurezza da SELinux.

— Gilles 'SO- smetti di essere malvagio'
fonte

ma se ho intenzione di renderlo un server a cui altri possano accedere in remoto con le proprie credenziali, potrei comunque potenzialmente beneficiare di una configurazione corretta? Non è nei piani immediati ma alla fine potrebbe essere ...

— Kenneth,

@Kenneth: più servizi esegui e più utenti hai, maggiore è la sicurezza che SELinux può offrire. All'estremo di una macchina monoutente con solo ssh, SELinux non serve. Oltre a ciò, sì, è utile, ma è un grande investimento. Tieni sempre presente che uno strumento di sicurezza mal compreso è una responsabilità, perché potresti avere un falso senso di sicurezza se sei troppo sicuro delle sue capacità e c'è il rischio che tu lo configuri in modo errato e introduca una falla nella sicurezza.

— Gilles 'SO-smetti di essere malvagio' il

@Kenneth - il vantaggio di impararlo ora è che se ne hai bisogno con rabbia avrai già imparato molti dei suoi difetti ... e ne ha alcuni :-)

— Rory Alsop

SELinux può avere notevoli vantaggi per l'uso domestico. Elaborerò più avanti.

— Mattdm,

SELinux può fare cose brillanti, anche su un singolo computer utente, come le applicazioni sandboxing.

— wzzrd,

Il problema con SELinux per le persone non IT come me è che non si identifica come la causa dei problemi con le autorizzazioni - in altre parole, gli errori che ricevi non sono distinguibili da altri errori più comuni e SELinux è l'ultimo posto dove guarderai o per il quale sarai in grado di ottenere risposte pubblicamente. Questo è il peggior tipo di funzionalità IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

— Jeremy Leipzig
fonte