GNU/Linux >> Linux Esercitazione >  >> Linux

SELinux nel mondo reale

SELinux fa un buon lavoro nell'esporre l'assoluta complessità di un intero sistema Linux. I moderni sistemi Fedora e RHEL ricevono molta attenzione [SELinux] e per la maggior parte non saprai che SELinux è "in esecuzione" (non è un demone, è principalmente hook nel kernel accoppiato con una politica di sicurezza per il processo decisionale) .

Un aspetto interessante (a volte frustrante) della sicurezza è la domanda "cosa sta facendo?" o "funziona?". Beh, se funziona, potresti non saperlo mai. Se stai eseguendo un server web ed è appena rimasto attivo, potresti non sapere che un paio di exploit sono stati tentati contro il tuo sistema.

Per quanto riguarda il governo, ci sono fonti pubbliche (elenchi di progetti governativi e simili) che sembrano indicare che il MAC (Mandatory Access Control, cioè SELinux) viene utilizzato, e forse abbastanza pesantemente. I sistemi governativi, a seconda della distribuzione e delle informazioni contenute in un sistema, devono soddisfare determinati criteri prima di essere utilizzati.

Per quanto riguarda le aziende private, non lo so. Se hanno bisogno dell'integrità che SELinux porta sul tavolo, allora dovrebbero.

Alla fine la sicurezza è davvero gestione del rischio e scelta del giusto livello di impegno. Anche la sicurezza è uno sforzo continuo, non qualcosa che semplicemente "accendi"


Molti negozi che conosco vorrebbero usare SELinux, ma non sono in grado di farlo. Molti fornitori che realizzano i loro prodotti per RHEL, ad esempio, richiedono esplicitamente che SELinux venga spento. Finché giunti come Oracle non supportano correttamente SELinux, non lo vedo decollare alla grande, tranne che sui server Web (su cui lo farei sempre lascialo acceso !) SELinux non è più così complicato. Se guardi RHEL4 e RHEL5 e confronti quanto sia complicato SELinux su entrambi, la differenza è enorme. Se confronti Fedora 11 con RHEL5, la differenza è di nuovo enorme. Sono stati fatti grandi passi avanti, ma fintanto che ragazzi come Oracle penseranno che SELinux non valga la pena supportare, continuerai a vedere molte persone disattivarlo.


Linux

  1. Uno scenario del mondo reale di hosting su cloud pubblico e privato

  2. Esiste un equivalente di .Net FileSystemWatcher nel mondo Linux?

  3. Come sapere cosa significa 'errno'?

  4. Come condividere la connessione Internet?

  5. Qual è il modo migliore per imparare SELinux?

Conosci il tuo sistema (usando la riga di comando)

MapSCII – La mappa del mondo nel tuo terminale

Come installare e utilizzare Docker su Ubuntu (nel mondo reale)

FreeBSD vs Linux:20 cose da sapere su entrambi i sistemi

Come conoscere i gruppi di un utente Linux

Guida per principianti al mondo Docker