답변:
SELinux를 시스템 호출 방화벽 으로 볼 수 있습니다 . 각 응용 프로그램에 대한 정책은 응용 프로그램이 수행 할 수있는 작업을 지정합니다. 이름 서버는 포트 53에서 수신 대기하고 특정 디렉토리의 일부 영역 파일에 대해 작업하며 syslog를 전송합니다. 예를 들어 / home에있는 파일로 작업하려고 시도하는 것은 의미가 없습니다. SELinux의 이러한 정책 시행은 네임 서버의 취약점이 시스템의 다른 부분으로 확산되는 것이 훨씬 어려울 것임을 의미합니다.
SELinux가 진정한 보안 가치를 제공한다는 것을 알았습니다. 그러나 수년에 걸쳐 작업하기가 더 쉬워졌지만 불행히도 여전히 복잡한 시스템입니다. 좋은 점은 전체 시스템에 대해 전원을 끄지 않고도 일부 서비스에 대해 쉽게 끌 수 있다는 것입니다. 너무 많은 (주니어?) 시스템 관리자가 하나의 서비스에서 가장 작은 문제가 발생하자마자 SELinux를 전환합니다. 문제를 일으키는 서비스에 대해 선택적으로 전원을 끄는 대신.
man -k selinux
시작하기 좋은 곳입니다. 일반적으로 특정 서비스에서 SELinux를 사용하지 않도록 설정할 수있는 * _disable_trans sebools가 있습니다.
모든 보안 문제를 미리 예측할 수있는 것은 아닙니다. 공격자가 타사 httpd 모듈과 같은 취약점을 악용 할 경우 사용자 httpd와 동일한 파일에 액세스 할 수 있습니다. SELinux는 또한 SELinux 도메인이 액세스 할 수있는 조치 및 파일 컨텍스트로 제한하여이를 제한합니다.
필수 액세스 제어 (Mandatory Access Control ) 라는 용어 는이를 아주 훌륭하게 요약합니다. SELinux는 MAC 구현으로 인해보다 안전한 커널을 통해보다 안전한 시스템을 제공합니다.
SELinux 는 전체 Linux 시스템의 복잡성을 드러내는 데 훌륭한 역할을합니다.
보안의 흥미로운 측면은 "무엇을하고 있는가?"라는 질문입니다.
잘 작동하면 알지 못할 수도 있습니다. 웹 서버를 실행 중이고 방금 유지 된 경우 시스템에 대해 몇 가지 악용 시도가 시도 된 것을 알 수 없습니다.
민간 기업에 관해서는 모르겠습니다. SELinux가 테이블에 제공하는 무결성이 필요한 경우에는 반드시 사용해야합니다.
정부의 경우 MAC이 사용되고 있음을 지적하는 공개 소스 (정부 프로젝트 등)가 있으며, 그 가능성은 상당히 높습니다. 정부 시스템은 배포 및 시스템 보유 정보에 따라 사용하기 전에 특정 기준을 충족해야합니다.
결국 보안은 실제로 위험 관리이며 올바른 수준의 노력을 선택하는 것입니다.
또한 보안은 지속적인 노력이 아니라 단순히 켜는 것이 아닙니다.