मेरी कॉर्पोरेट नीति कहती है कि लिनक्स बॉक्स को SELinux के साथ सुरक्षित किया जाना चाहिए (ताकि एक सुरक्षा ऑडिटर 'हां, हम बेहद सुरक्षित हों!' प्रत्येक सर्वर के लिए चेकबॉक्स की जांच कर सकें)। मुझे उबंटू के भयानक डिफ़ॉल्ट ऐपआमोर सुरक्षा का लाभ उठाने की उम्मीद थी। क्या Apparmor और SELinux दोनों को चलाना नासमझी है? (यदि ऐसा है, तो क्या यह बुरा विचार कुछ शिक्षाप्रद और / या selinux tweaks के साथ कम किया जा सकता है?)
जवाबों:
लिनक्स कर्नेल लिनक्स सुरक्षा मॉड्यूल इंटरफ़ेस प्रदान करता है, जिनमें से SELinux और AppArmor दोनों का कार्यान्वयन है। (अन्य में TOMOYO, स्मैक, शामिल हैं ...) यह इंटरफ़ेस वर्तमान में केवल एक ही LSM को एक समय में चालू करने की अनुमति देने के लिए डिज़ाइन किया गया है। एक साथ दो को चलाने का कोई तरीका नहीं है, इसलिए आपको एक को चुनना होगा। कई एलएसएम को "स्टैक" करने के तरीके के बारे में समय-समय पर चर्चा हुई है, लेकिन यह अभी तक नहीं किया गया है।
मैं दोनों का उपयोग नहीं करेगा।
SELinux और AppArmor दोनों एक ही मूल काम करते हैं: फ़ाइलों और फ़ोल्डरों तक पहुंच को केवल उन अनुप्रयोगों तक सीमित करना जो वास्तव में एक्सेस की आवश्यकता होती है।
लेकिन दोनों इस विचार को बहुत अलग तरीके से लागू करते हैं।
(यह एक बहुत ही बुनियादी व्याख्या है कि SELinux और AppArmor कैसे काम करते हैं।)
यदि आप दोनों का उपयोग करने के लिए थे, तो वे संभवतः एक दूसरे के रास्ते में आएंगे, और मुझे वास्तव में दोनों का उपयोग करने की कोई आवश्यकता या लाभ नहीं है।