SELinux offre-t-il suffisamment de sécurité supplémentaire pour que cela vaille la peine d'apprendre / de le configurer?

17

J'ai récemment installé Fedora 14 sur mon ordinateur personnel et j'ai travaillé à la mise en place de différentes fonctionnalités liées au serveur telles que apache, mysql, ftp, vpn, ssh, etc. Je n'en avais pas entendu parler auparavant. Après avoir fait quelques recherches, il semblait que la plupart des gens étaient d'avis que vous devriez simplement le désactiver et ne pas vous en occuper. Personnellement, si cela ajoute vraiment plus de sécurité, je ne suis pas opposé à gérer les maux de tête d'apprendre à le configurer correctement. Finalement, je prévois d'ouvrir mon réseau afin que ce PC puisse être accessible à distance, mais je ne veux pas le faire jusqu'à ce que je sois sûr que c'est sécurisé (plus ou moins). Si vous l'avez installé et que vous l'avez fait fonctionner correctement, pensez-vous que cela valait le temps et les tracas? Est-ce vraiment plus sûr? Si vous avez choisi de ne pas l'utiliser, cette décision est-elle fondée sur des recherches qui méritent également d'être prises en compte dans ma situation?

linux security selinux Kenneth
la source
2
veuillez garder à l'esprit qu'un bon état d'esprit en matière de sécurité est qu'aucune sécurité ne devrait coûter plus cher à mettre en œuvre que la valeur de ce qu'elle protège. Ainsi, si votre temps vaut 50 $ de l'heure et qu'il vous faudra 8 heures pour implémenter SELinux, mais il ne faudrait qu'une heure pour réparer, et peut-être 50 $ pour remplacer un appareil ... (en pensant à soho router) ce n'est pas vaut le coût de la mise en œuvre de SELinux. Cependant, si vos données sont irremplaçables, et qu'un compromis ne coûterait pas des millions mais qu'il faudrait 100 000 à mettre en œuvre ... ça vaut le coup.
xenoterracide

Réponses:

10

SELinux a amélioré la sécurité locale en améliorant l'isolement entre les processus et en fournissant des politiques de sécurité plus précises.

Pour les machines multi-utilisateurs, cela peut être utile en raison des politiques plus flexibles, et cela soulève plus de barrières entre les utilisateurs, ce qui ajoute une protection contre les utilisateurs locaux malveillants.

Pour les serveurs, SELinux peut réduire l'impact d'une vulnérabilité de sécurité sur un serveur. Là où l'attaquant pourrait obtenir des privilèges d'utilisateur local ou root, SELinux ne pourrait lui permettre de désactiver qu'un service particulier.

Pour une utilisation domestique typique, où vous serez le seul utilisateur et que vous voudrez pouvoir tout faire à distance une fois authentifié, vous ne gagnerez aucune sécurité de SELinux.

Gilles 'SO- arrête d'être méchant'
la source
mais si je prévois d'en faire un serveur auquel d'autres personnes peuvent se connecter à distance avec leurs propres informations d'identification, je pourrais potentiellement bénéficier d'une configuration correcte? Ce n'est pas dans les plans immédiats mais pourrait éventuellement être ...
Kenneth
@Kenneth: Plus vous exécutez de services et plus vous avez d'utilisateurs, plus SELinux peut apporter de sécurité. À l'extrême d'une machine mono-utilisateur avec seulement ssh, SELinux est inutile. Au-delà, oui, c'est utile, mais c'est un gros investissement. Gardez toujours à l'esprit qu'un outil de sécurité mal compris est un handicap, car vous pourriez avoir un faux sentiment de sécurité si vous avez trop confiance en ses capacités, et il y a un risque que vous le configuriez mal et introduisiez une faille de sécurité.
Gilles 'SO- arrête d'être méchant'
1
@Kenneth - l'avantage de l'apprendre maintenant, c'est que si vous en avez besoin en colère, vous aurez déjà appris beaucoup de ses faiblesses ... et il en a quelques-unes :-)
Rory Alsop
1
SELinux peut avoir de forts avantages pour un usage domestique. Je développerai plus tard.
mattdm
1
SELinux peut faire des choses brillantes, même sur une machine mono-utilisateur, comme les applications de sandboxing.
wzzrd le
5

Le problème avec SELinux pour les non-informaticiens comme moi est qu'il ne s'identifie pas comme la cause des problèmes d'autorisations - en d'autres termes, les erreurs que vous obtenez ne se distinguent pas des autres erreurs plus courantes et SELinux est le dernier endroit où vous regarderez ou pour laquelle vous pourrez obtenir des réponses publiquement. C'est le pire type de fonctionnalité IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Jeremy Leipzig
la source