SELinux는 번거로운 학습 / 설정 가치가있을만큼 충분한 추가 보안을 제공합니까?

나는 최근에 내 홈 PC에 Fedora 14를 설치하고 아파치, mysql, ftp, vpn, ssh 등과 같은 다른 서버 관련 기능을 설정하기 위해 노력하고 있습니다. 나는 이전에 들어 본 적이 없습니다. 약간의 연구를 한 후에는 대부분의 사람들이 당신이 그것을 비활성화하고 번거 로움을 다루지 않아야한다고 생각하는 것처럼 보였습니다. 개인적으로 더 많은 보안을 추가한다면 적절하게 설정하는 방법을 배우는 데 어려움을 겪지는 않습니다. 결국이 PC에 원격으로 액세스 할 수 있도록 네트워크를 열 계획이지만 보안이 확실하다고 확신 할 때까지는 그렇게하고 싶지 않습니다. 설정하고 올바르게 작동하면 시간과 번거 로움이 있다고 생각합니까? 정말 더 안전합니까? 당신이 사용하지 않기로 결정했다면, 내 상황에서도 고려할만한 연구에 대한 결정이 있었습니까?

linux security selinux

— 케네스
소스

좋은 보안 사고 방식은 보호하는 것의 가치보다 구현 비용이 더 높아서는 안된다는 점을 명심하십시오. 따라서 시간이 시간당 $ 50이고 SELinux를 구현하는 데 8 시간이 걸리지 만 수리하는 데 평균 1 시간이 걸리고 장치를 교체하는 데 평균 $ 50이 걸리는 경우 (소호 라우터 생각) ... SELinux를 구현하는 데 드는 비용. 그러나 데이터를 교체 할 수없고 타협하지 않는 데 수백만 달러가 들지만 구현하는 데 100k가 걸리면 그만한 가치가 있습니다.

— xenoterracide

답변:

SELinux는 프로세스 간 격리를 개선하고보다 세분화 된 보안 정책을 제공함으로써 로컬 보안을 강화했습니다.

다중 사용자 컴퓨터의 경우이 정책은보다 유연한 정책으로 인해 유용 할 수 있으며 사용자 간의 장벽을 높여 악성 로컬 사용자에 대한 보호 기능을 추가합니다.

서버의 경우 SELinux는 서버의 보안 취약점으로 인한 영향을 줄일 수 있습니다. 침입자가 로컬 사용자 또는 루트 권한을 얻을 수있는 경우 SELinux는 하나의 특정 서비스 만 비활성화 할 수 있습니다.

유일한 사용자가되고 인증 된 모든 것을 원격으로 인증 할 수있는 일반적인 가정용의 경우 SELinux에서 보안을 얻지 못합니다.

— 질 'SO- 악마 그만해'
소스

그러나 다른 사람들이 자신의 자격 증명으로 원격으로 로그인 할 수있는 서버를 만들 계획이라면 여전히 올바른 설정의 이점을 얻을 수 있습니까? 즉 ... 즉각적인 계획에없는 결국이 될 수

— 케네스

@Kenneth : 더 많은 서비스를 제공하고 사용자가 많을수록 SELinux가 더 많은 보안을 제공 할 수 있습니다. ssh 만있는 단일 사용자 시스템의 경우 SELinux는 사용되지 않습니다. 그 외에도 유용하지만 큰 투자입니다. 보안 도구를 잘 이해하지 못하면 보안 책임이 있다는 것을 명심하십시오. 보안 기능에 대해 과도하게 확신 할 경우 잘못된 보안 감각이 생길 수 있으며,이를 잘못 구성하여 보안 허점을 초래할 위험이 있습니다.

— Gilles 'SO- 악의를 멈춰라'

@ 케네스-그것을 배우는 것의 단점은, 만약 당신이 화를 내야 할 필요가 있다면 이미 많은 솜씨를 배웠을 것입니다 ... 그리고 몇 가지가 있습니다 :-)

— Rory Alsop

SELinux는 가정용으로 강력한 이점을 가질 수 있습니다. 나중에 더 자세히 설명하겠습니다.

— mattdm

SELinux는 샌드 박싱 응용 프로그램과 같은 단일 사용자 컴퓨터에서도 훌륭한 작업을 수행 할 수 있습니다.

— wzzrd

본인과 같은 비 IT 사용자를위한 SELinux의 문제점은 권한 문제의 원인으로 자신을 식별하지 못한다는 것입니다. 즉, 발생하는 오류는 다른 일반적인 오류와 구별 할 수 없으며 SELinux는 마지막으로 볼 수있는 곳입니다. 공개적으로 답변을 얻을 수 있습니다. 이것은 기능 IMO의 최악 유형입니다.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

— 제레미 라이프 치히
소스