SELinux 是否使 Redhat 更安全？

Question

SELinux 是否使 Redhat 更安全？

我不记得我禁用 SELinux 的次数，因为它一直让我无法运行东西。很多时候没有明显的原因为什么东西不起作用，我不得不谷歌来找出原因。

考虑到大多数临时用户会在安全性出现障碍时禁用或削弱安全性，不包括认真的企业 Redhat 用户，SELinux 真的有用吗？

附注。是否有一些工具可以帮助您记录、跟踪和管理所有应用程序中的 SELinux 问题？

Answer 1

是的，SELinux 使 Red Hat（以及任何其他实际使用它的 Linux 发行版）更加安全，前提是它确实在使用中。

SELinux 实施强制访问控制。普通 Unix 权限、ACL 等，实现自由访问控制。两者相辅相成。

为了工作，SELinux 需要一个策略，定义可以允许对系统进行哪些操作。虽然可以从头开始创建整个系统策略，但大多数 Linux 发行版都提供基于所谓的参考策略的策略。这意味着跨发行版配置 SELinux 将非常相似。（大多数 Linux 发行版都在其软件包存储库中提供了 SELinux 参考策略，尽管默认情况下可能未安装它。）

SELinux 的工作原理是限制用户和进程仅执行策略中允许他们执行的操作。默认情况下，策略是拒绝，因此如果策略没有明确允许某个操作，则它不会发生。这就是为什么您经常遇到 SELinux 不允许您尝试做的事情的麻烦。

从好的方面来说，这也可以防止漏洞利用，甚至是 0 天漏洞利用失控。例如，如果您的 Web 服务器 (Apache) 被利用，则损害仅限于 Apache 可以访问的内容。/etc/shadow例如，即使使用远程 root 漏洞，它也无法读取您的文件。虽然 Unix 权限 (DAC) 允许 root 读取文件，但 SELinux (MAC) 不允许受感染的进程越界。

最大的问题是必须为该服务加载一个 SELinux 策略模块。如果你在你的机器上安装了一个不包含 SELinux 策略模块的服务，那么它将不受限制地运行并且能够做任何它想做的事情。SELinux 不适用于它。

你应该知道的另一件事是关于booleans。这些可调参数由 SELinux 策略提供，用于为特定安装定制它们，并根据本地配置需要允许或拒绝访问。例如，您可以授予 Apache 访问 Samba 共享的权限，使 Samba 能够共享用户主目录，以及许多其他对某些设置是必需的但不是其他设置所必需的潜在有用的东西。

我目前看到的最好的 SELinux 指南是 Red Hat 的Security-Enhanced Linux User Guide。它将帮助您快速启动和运行，并填写正在发生的事情的背景详细信息。它还包括一个全面的故障排除指南，可帮助您在 SELinux 下运行您的进程。

有用吗？

SELinux 防止进程（和用户，如果你限制了你的用户）做意外的事情。它严重限制了远程漏洞利用可以造成的损害。如果您从未遭受过远程攻击，那么您 (1) 很幸运，并且 (2) 可能是新手。如果您进行过远程妥协，您当然不希望它再次发生。

它在家庭环境中没有那么有用，除非您碰巧在家中运行面向 Internet 的服务（有些人这样做）。在这种情况下，上述所有内容都适用。

SELinux 可能是您的数据和真正想要它的具有 0 天漏洞的攻击者之间的最后一件事。如果你可以使用它，你为什么不呢？

Answer 2

是的，Selinux 使系统更安全。但是您需要了解它的概念，并且至少具备有关 selinux 和审计工具的基本知识。

Selinux 正在记录到 /var/log/audit/audit.log（但确保 auditd 正在运行），并且有许多工具可以解决 selinux 问题。可能最简单的方法是使用audit2allow