हमें SELinux की आवश्यकता क्यों है?


14

मुझे ज्यादा अंदाजा नहीं था कि SELinux का उपयोग कहां किया गया है और यह हमलावर से क्या बचाता है। मैं SELinux वेब साइट के माध्यम से चला गया और बुनियादी पढ़ा लेकिन अभी भी SELinux के बारे में सुराग नहीं मिल रहा है। लिनक्स सिस्टम के लिए जो SSH शेल, अपाचे फ्रंट एंड, रोल बेस्ड वेब एप्लिकेशन, MySQL DB, मेमेकैच्ड प्रदान करता है, लगभग सभी सिस्टम पासवर्ड प्रोटेक्टेड हैं, फिर हमें SELinux की आवश्यकता क्यों है?

जवाबों:


14

आप सिलेन्क्स को सिस्टम-कॉल फ़ायरवॉल के रूप में देख सकते हैं : प्रत्येक एप्लिकेशन के लिए एक नीति निर्दिष्ट करती है कि आवेदन करने के लिए क्या उचित है: नाम सर्वर पोर्ट 53 पर सुन सकता है, किसी विशेष निर्देशिका में कुछ ज़ोन फ़ाइलों के साथ काम कर सकता है, syslog भेज सकता है, ।। , लेकिन यह उदाहरण के लिए / घर में फ़ाइलों के साथ काम करने की कोशिश करने के लिए कोई मतलब नहीं है। ऐसी नीति के SELinux 'प्रवर्तन का अर्थ है कि सिस्टम के अन्य भागों में फैलने के लिए नाम सर्वर की कमजोरी के लिए यह बहुत कठिन होगा।

मुझे लगता है कि SELinux वास्तविक सुरक्षा मूल्य प्रदान करता है। लेकिन जबकि यह निश्चित रूप से वर्षों से काम करना आसान हो गया है, यह है - दुर्भाग्य से - अभी भी एक जटिल प्रणाली। अच्छी बात यह है कि आप इसे आसानी से कुछ सेवाओं के लिए बंद कर सकते हैं, बिना पूरे सिस्टम के इसे बंद करने के लिए। बहुत से (जूनियर?) Sysadmins, SELinux के बोर्ड में बदल जाते हैं, जैसे ही वे एक सेवा के साथ थोड़ी सी समस्या में भागते हैं - बजाय सेवा के लिए चुनिंदा रूप से बंद किए यह सेवा परेशानी का कारण बन जाती है।


जिज्ञासु: "आसानी से इसे कुछ सेवाओं के लिए बंद कर दें" कैसे?
बेलमिन फर्नांडीज

man -k selinuxशुरू करने के लिए एक अच्छी जगह है। आमतौर पर, * _disable_trans sebools हैं जो विशेष सेवाओं पर SELinux को अक्षम करने के लिए सेट किए जा सकते हैं।
jgoldschrafe

2
@jgoldschrafe और यह "कितना आसान" है।
जुरगेन ए। एर्हार्ड

1
"इसके लिए कोई अर्थ नहीं है" / घर में फ़ाइलों के साथ काम करने की कोशिश करने के लिए - और आप उन फ़ाइलों के लिए DNS सर्वर की अनुमति के साथ प्रवेश को प्रतिबंधित नहीं कर सकते हैं?
सिम्बियन

8

सभी सुरक्षा मुद्दों का पहले से अनुमान नहीं लगाया जा सकता है। यदि कोई हमलावर उदाहरण के लिए एक तृतीय-पक्ष httpd मॉड्यूल में कमजोरी का फायदा उठाता है, तो उनके पास उन्हीं फ़ाइलों तक पहुंच होती है, जो उपयोगकर्ता httpd के रूप में चल रहा है। SELinux आगे उन कार्यों और उन संदर्भों को सीमित करके इसे प्रतिबंधित करता है, जो उनके SELinux डोमेन तक पहुँच रखते हैं।



2

मुझे लगता है कि शब्द अनिवार्य प्रवेश नियंत्रण इसे काफी अच्छी तरह से बताता है। मैक कार्यान्वयन के कारण बड़े हिस्से में SELinux आपको अधिक सुरक्षित कर्नेल के माध्यम से एक अधिक सुरक्षित प्रणाली प्रदान करता है।


2

संपूर्ण लिनक्स सिस्टम की सघनता को उजागर करने में SELinux अच्छा काम करता है।
सुरक्षा का एक दिलचस्प पहलू सवाल है "यह क्या कर रहा है?"
अगर यह काम कर रहा है तो आप कभी नहीं जान सकते। यदि आप एक वेब सर्वर चला रहे हैं और यह अभी तक बना हुआ है, तो आप नहीं जानते होंगे कि आपके सिस्टम के खिलाफ कुछ कारनामे भी आजमाए गए थे।
निजी कंपनियों के लिए, मुझे नहीं पता। यदि उन्हें अखंडता की आवश्यकता होती है जो SELinux तालिका में लाता है, तो उन्हें करना चाहिए।
सरकार के लिए, सार्वजनिक स्रोत हैं (सरकारी परियोजनाओं की सूची और इस तरह) कि मैक का उपयोग करने के लिए इंगित किया जा रहा है, और काफी भारी संभव है। सरकारी सिस्टम, तैनाती पर निर्भर करता है और एक प्रणाली क्या जानकारी रखती है, इसका उपयोग करने से पहले कुछ मानदंडों को पूरा करना होगा।
अंत में सुरक्षा वास्तव में जोखिम प्रबंधन है और प्रयास का सही स्तर चुनना है।
इसके अलावा सुरक्षा एक प्रयास पर है, न कि कुछ जिसे आप केवल चालू करते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.