क्या एक ही समय में SELinux और AppArmor को चलाना एक बुरा विचार है?


27

मेरी कॉर्पोरेट नीति कहती है कि लिनक्स बॉक्स को SELinux के साथ सुरक्षित किया जाना चाहिए (ताकि एक सुरक्षा ऑडिटर 'हां, हम बेहद सुरक्षित हों!' प्रत्येक सर्वर के लिए चेकबॉक्स की जांच कर सकें)। मुझे उबंटू के भयानक डिफ़ॉल्ट ऐपआमोर सुरक्षा का लाभ उठाने की उम्मीद थी। क्या Apparmor और SELinux दोनों को चलाना नासमझी है? (यदि ऐसा है, तो क्या यह बुरा विचार कुछ शिक्षाप्रद और / या selinux tweaks के साथ कम किया जा सकता है?)

जवाबों:


26

लिनक्स कर्नेल लिनक्स सुरक्षा मॉड्यूल इंटरफ़ेस प्रदान करता है, जिनमें से SELinux और AppArmor दोनों का कार्यान्वयन है। (अन्य में TOMOYO, स्मैक, शामिल हैं ...) यह इंटरफ़ेस वर्तमान में केवल एक ही LSM को एक समय में चालू करने की अनुमति देने के लिए डिज़ाइन किया गया है। एक साथ दो को चलाने का कोई तरीका नहीं है, इसलिए आपको एक को चुनना होगा। कई एलएसएम को "स्टैक" करने के तरीके के बारे में समय-समय पर चर्चा हुई है, लेकिन यह अभी तक नहीं किया गया है।


6
SELinux और AppArmor लिनक्स सुरक्षा मॉड्यूल (LSM) इंटरफ़ेस के कार्यान्वयन नहीं हैं। वे एलएसएम इंटरफेस के उपभोक्ता हैं।
खंड

17

मैं दोनों का उपयोग नहीं करेगा।

SELinux और AppArmor दोनों एक ही मूल काम करते हैं: फ़ाइलों और फ़ोल्डरों तक पहुंच को केवल उन अनुप्रयोगों तक सीमित करना जो वास्तव में एक्सेस की आवश्यकता होती है।

लेकिन दोनों इस विचार को बहुत अलग तरीके से लागू करते हैं।

  • SELinux आपके फाइल सिस्टम में हर फाइल के लिए एक लेबल देता है और एक एप्लिकेशन की पहुंच को कुछ लेबलों तक सीमित करता है।
    उदाहरण के लिए: अपाचे केवल वेब फ़ाइलों के रूप में स्पष्ट रूप से लेबल की गई फ़ाइलों और फ़ोल्डर का उपयोग कर सकता है, और अन्य एप्लिकेशन नहीं कर सकते।
  • AppArmor लेबल का उपयोग किए बिना एक ही बात को पूरा करता है, यह सिर्फ फ़ाइल पथ का उपयोग करता है।

(यह एक बहुत ही बुनियादी व्याख्या है कि SELinux और AppArmor कैसे काम करते हैं।)

यदि आप दोनों का उपयोग करने के लिए थे, तो वे संभवतः एक दूसरे के रास्ते में आएंगे, और मुझे वास्तव में दोनों का उपयोग करने की कोई आवश्यकता या लाभ नहीं है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.