SELinux와 AppArmor를 동시에 실행하는 것은 좋지 않습니까?

회사 정책에 따르면 Linux 상자는 SELinux로 보안을 유지해야합니다 (보안 감사자는 각 서버에 대해 '예, 우리는 매우 안전합니다!'확인란을 선택할 수 있습니다). 우분투의 멋진 기본 AppArmor 보안을 활용하고 싶었습니다. Apparmor와 SELinux를 모두 실행하는 것이 현명하지 않습니까? (그렇다면이 나쁜 생각을 일부 의복 및 / 또는 selinux 조정으로 완화 할 수 있습니까?)

Linux Kernel은 Linux 보안 모듈 인터페이스를 제공하며 SELinux 및 AppArmor는 모두 구현됩니다. (다른 인터페이스로는 TOMOYO, Smack 등이 있습니다.)이 인터페이스는 현재 한 번에 하나의 LSM 만 작동 할 수 있도록 설계되었습니다. 두 개를 동시에 실행할 수있는 방법이 없으므로 하나를 선택해야합니다. 여러 LSM을 "스택"하는 방법에 대한 논의가 때때로 있었지만 아직 완료되지 않았습니다.

나는 둘 다 사용하지 않을 것입니다.

SELinux와 AppArmor는 모두 동일한 기본 작업을 수행합니다. 파일과 폴더에 대한 액세스를 실제로 액세스해야하는 응용 프로그램으로 만 제한합니다.

그러나 둘 다이 아이디어를 매우 다른 방식으로 구현합니다.

• SELinux는 파일 시스템의 모든 파일에 레이블을 첨부하고 응용 프로그램의 액세스를 특정 레이블로 제한합니다.
  예를 들어 : Apache는 웹 파일로 명시 적으로 레이블이 지정된 파일과 폴더 만 사용할 수 있으며 다른 응용 프로그램은 사용할 수 없습니다.
• AppArmor는 레이블을 사용하지 않고 동일한 작업을 수행하며 파일 경로 만 사용합니다.

(이것은 SELinux 및 AppArmor의 작동 방식에 대한 매우 기본적인 설명입니다.)

두 가지를 모두 사용한다면 아마도 서로의 방식으로 들어갈 것입니다. 그리고 나는 두 가지를 모두 사용할 필요가 없습니다.