題 如果我是唯一一個使用我的電腦的人,SELinux是否重要?


我有兩台Fedora筆記本電腦和一台CentoOS家用服務器,但我是唯一一個使用它們的人,除了家庭成員使用的smb共享。如果我的機器上沒有任何其他常規用戶,SELinux是否有任何實際好處?是不是有充分的理由不讓它關閉?


4
2017-10-24 17:31


起源


我認為轉變它沒有任何好處 離 除了懶惰。除了第一次設置之外,它不會太繁瑣。關閉SElinux應該是一個 臨時 故障排除步驟,而不是SOP。額外的安全性可能不是你注意到的,但這通常是一件好事。 - Journeyman Geek♦


答案:


Selinux用於執行流程類型。這與用戶隔離不同。

有關理解SELinux的簡單指南,請查看SELinux著色書(是的,它確實是一本著色書)。

https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf

對於工作站,SELinux並不像服務器那麼重要。但是,它會阻止惡意進程訪問其他進程。

http://stopdisablingselinux.com


8
2017-10-24 18:49





如果您正確設置了用戶和組權限,則不應該關注其他常規用戶。

SELinux旨在保護您免受違規行為的影響,即有人利用程序或配置故障使您的計算機做一些不符合您興趣的事情。這可能是使用在您的計算機,瀏覽器或您下載並執行的某些軟件上運行的網絡守護程序。即使插入某些設備(如惡意USB記憶棒)也可能會造成危險。

當然SELinux必須正確設置以保護您的計算機。如果不是,你也可以把它關掉。


4
2017-10-24 18:19





是。

SELinux旨在為沙盒應用程序設計,以便它們只能執行特定的已批准功能。例如,如果某個站點欺騙您的瀏覽器下載並安裝RASKit,SELinux會(假設您的配置文件已正確定義)阻止安裝RASKit。

除了接收像瀏覽器這樣的遠程輸入的應用程序之外,SELinux(再次正確使用時)也可以防止惡意應用程序偽裝成可信任的應用程序。例如,如果您的發行版存儲庫已被編譯,並被欺騙以將不良版本的更新推送到您的應用程序,則SELinux應阻止它們採取不允許合法版本採取的操作。

強制訪問控制與用戶無關,因為它與應用程序有關,而SELinux或AppArmor旨在防止這些應用程序超出其預期的權限級別。這對於以root身份運行的應用程序尤為重要。


4
2017-10-24 18:48



但是,如果軟件包服務器和用於簽署軟件包的密鑰遭到破壞,攻擊者也無法發布修訂後的SELinux規則以允許其惡意軟件包完成其工作(假設規則與軟件包捆綁在一起而不是由軟件包獨立設置用戶)?
@AndréDaniel這種類型的滲透會非常嚴重。我認為如果攻擊者可以訪問主要RH發行版的包簽名密鑰,則不太可能將SELinux用作向量。 - plasmid87