O SELinux fornece segurança extra suficiente para valer o trabalho de aprender / configurar?

17

Instalei recentemente o Fedora 14 no meu PC doméstico e tenho trabalhado na configuração de diferentes recursos relacionados ao servidor, como apache, mysql, ftp, vpn, ssh, etc. Corri extremamente rapidamente para uma barreira que parecia quando descobri o SELinux Eu nunca tinha ouvido falar. Depois de fazer algumas pesquisas, parecia que a maioria das pessoas pensava que você deveria desativá-lo e não lidar com o incômodo. Pessoalmente, se realmente adiciona mais segurança, não sou contra lidar com as dores de cabeça de aprender a configurá-lo adequadamente. Eventualmente, planejo abrir minha rede para que este PC possa ser acessado remotamente, mas não quero fazer isso até que tenha certeza de que é seguro (mais ou menos). Se você o configurou e funcionou corretamente, sente que valeu a pena o tempo e os aborrecimentos? É realmente mais seguro? Se você optou por não usá-la, essa decisão foi fundamentada em qualquer pesquisa que valha a pena considerar na minha situação também?

linux security selinux Kenneth
fonte
2
lembre-se de que uma boa mentalidade de segurança é que nenhuma segurança deve custar mais para ser implementada do que o valor do que está protegendo. Portanto, se o seu tempo vale US $ 50 por hora e você leva 8 horas para implementar o SELinux, mas levaria apenas 1 hora em média para reparar, e talvez US $ 50 para substituir um dispositivo ... (pensando no roteador soho), não é vale o custo de implementação do SELinux. No entanto, se seus dados forem insubstituíveis, e nenhum compromisso custaria milhões, mas levaria 100 mil para implementar ... vale a pena.
Xenoterracide

Respostas:

10

O SELinux aprimorou a segurança local, melhorando o isolamento entre processos e fornecendo políticas de segurança mais refinadas.

Para máquinas com vários usuários, isso pode ser útil devido às políticas mais flexíveis e levanta mais barreiras entre os usuários, adicionando proteção contra usuários locais maliciosos.

Para servidores, o SELinux pode reduzir o impacto de uma vulnerabilidade de segurança em um servidor. Onde o invasor pode obter privilégios de usuário ou raiz local, o SELinux pode permitir apenas que ele desabilite um serviço específico.

Para uso doméstico típico, onde você será o único usuário e poderá poder fazer tudo remotamente depois de autenticado, você não obterá nenhuma segurança do SELinux.

Gilles 'SO- parar de ser mau'
fonte
mas se eu pretender torná-lo um servidor no qual outras pessoas possam se conectar remotamente com suas próprias credenciais, eu ainda poderia me beneficiar de uma configuração correta? Isso não está nos planos imediatos, mas poderia ser ...
Kenneth
@ Kenneth: Quanto mais serviços você executa, e quanto mais usuários você tem, mais segurança o SELinux pode trazer. No extremo de uma máquina de usuário único com apenas ssh, o SELinux não serve para nada. Além disso, sim, é útil, mas é um grande investimento. Lembre-se sempre de que uma ferramenta de segurança mal compreendida é uma responsabilidade, porque você pode ter uma falsa sensação de segurança se tiver excesso de confiança em suas habilidades, e há o risco de configurá-la incorretamente e introduzir uma brecha na segurança.
Gilles 'SO- stop being evil' (
1
@ Kenneth - a vantagem de aprendê-lo agora é que, se você precisar dele com raiva, já terá aprendido muitas de suas fraquezas ... e ela tem algumas :-)
Rory Alsop
1
O SELinux pode trazer grandes benefícios para o uso doméstico. Vou elaborar mais tarde.
mattdm
1
O SELinux pode fazer coisas brilhantes, mesmo em uma máquina de usuário único, como aplicativos de sandbox.
Wzzrd
5

O problema com o SELinux para pessoas que não são de TI como eu é que ele não se identifica como a causa dos problemas de permissões - em outras palavras, os erros que você recebe não são distinguíveis de outros erros mais comuns e o SELinux é o último lugar em que você procurará ou para as quais você poderá obter respostas publicamente. Este é o pior tipo de recurso IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Jeremy Leipzig
fonte