Kri*_*ish 16 security linux selinux
我不知道在哪里使用了 SELinux 以及它从攻击者那里保存了什么。我浏览了 SELinux 网站并阅读了基本但仍然没有获得有关 SELinux 的线索。对于提供 SSH shell、Apache 前端、基于角色的 Web 应用程序、MySQL DB、memcached 的 Linux 系统,几乎所有系统都有密码保护,那么我们为什么需要 SELinux?
Tro*_*vin 17
您可以将 SELinux 视为系统调用防火墙:每个应用程序的策略指定了应用程序的合理操作:名称服务器可以侦听端口 53、处理特定目录中的某些区域文件、发送系统日志、.. .,但是例如尝试使用 /home 中的文件是没有意义的。SELinux 对此类策略的执行意味着名称服务器中的弱点将更难以传播到系统的其他部分。
我发现 SELinux 提供了真正的安全价值。但是,尽管多年来它确实变得更容易使用,但不幸的是,它仍然是一个相当复杂的系统。好处是您可以轻松地为某些服务关闭它,而不必为整个系统关闭它。太多(初级?)系统管理员一旦遇到一项服务的最轻微问题,就会全面转向 SELinux - 而不是有选择地关闭它,因为服务会造成问题。
并非所有安全问题都可以提前预测。如果攻击者设法利用第三方 httpd 模块中的弱点,那么他们就可以访问用户 httpd 正在运行的相同文件。SELinux 通过将它们限制为它们的 SELinux 域有权访问的操作和文件上下文来进一步限制这一点。