Devo installare SELinux su macchine personali?

5

Mi sono imbattuto in SELinux questa settimana e i concetti sembrano interessanti. Tuttavia, non vedo l'uso di SELinux promosso quanto mi aspettavo. Perché è così e qualcuno dovrebbe raccomandare l'installazione di un kernel SELinux su una macchina Linux personale?

    
posta Us3rname 12.02.2017 - 02:25
fonte

1 risposta

7

However I don't see the use of SELinux being promoted as much as I expected. Why is this the case...?

SELinux è un meccanismo di sicurezza che, se non correttamente configurato e ottimizzato, sarà inefficace o inopportunamente bloccherà la funzionalità. Pensalo come un coltello da cucina affilato; indispensabile nelle mani di un abile chef, ma o pericoloso o incline a opacizzare nelle mani di un novizio.

Di conseguenza SELinux è più comunemente * utilizzato solo nelle configurazioni di distribuzione OS in scatola, che sono state attentamente progettate e testate. Questi usi sono solitamente invisibili all'utente (il segno distintivo di una politica ben progettata!)

SELinux è anche molto utile con programmi che forniscono una superficie di attacco, vale a dire demoni accessibili dalla rete. In quanto tale, è più appropriato per un server che per una "Macchina personale"

would anyone recommend installing a SELinux kernel onto a personal Linux machine?

Vorrei riformulare la tua domanda come " quando si consiglia di installare ...", poiché la raccomandazione dipende dalle circostanze.

  • Se sei interessato a conoscere la sicurezza e non hai mai giocato con il Controllo degli accessi obbligatorio, e hai una macchina in cui non ti dispiace orribilmente se si incunea e ha bisogno di essere sistemato, quindi mi sento di consigliare di giocare con SELinux. MAC può essere affascinante se non hai mai giocato con esso prima.
  • Se hai processi meno affidabili (ad esempio, stai eseguendo un server Minecraft o simile per i tuoi amici ma non ti fidi del tutto) che ti rende nervoso, e sei disposto a passare un po 'di tempo e fatica a costruire una configurazione che funzioni senza rompere le cose (e rompendo e aggiustando le cose lungo la strada) allora potresti prendere in considerazione SELinux ... ma riconosci che è un po 'di lavoro se sei non solo prendendo un profilo di lavoro da qualche parte.
  • Se la tua macchina personale è uno strumento per fare le cose e ti sentirai disturbato se le cose dovessero essere aggiustate, e non hai un livello di minaccia particolare che ti fa sentire più nervoso del normale, quindi non consiglio SELinux.

* Nella mia esperienza personale; YMMV. Ad esempio, SELinux è abilitato di default su Red Hat Enterprise Linux . Ma su qualcosa come Ubuntu devi fare di testa per aggiungerlo .

    
risposta data 12.02.2017 - 05:11
fonte

Leggi altre domande sui tag