Est-ce une mauvaise idée d'exécuter SELinux et AppArmor en même temps?


27

Ma politique d'entreprise stipule que les boîtes Linux doivent être sécurisées avec SELinux (afin qu'un auditeur de sécurité puisse cocher la case «oui, nous sommes extrêmement sécurisés!» Pour chaque serveur). J'avais espéré profiter de la formidable sécurité AppArmor par défaut d'Ubuntu. Est-il imprudent d'exécuter à la fois Apparmor et SELinux? (Si c'est le cas, cette mauvaise idée peut-elle être atténuée avec quelques ajustements de l'apparmeur et / ou du selinux?)

Réponses:


26

Le noyau Linux fournit l' interface du module de sécurité Linux , dont SELinux et AppArmor sont tous deux des implémentations de. (D'autres incluent TOMOYO, Smack, ...) Cette interface est actuellement conçue pour permettre à un seul LSM d'être opérationnel à la fois. Il n'y a aucun moyen d'exécuter deux simultanément, vous devez donc en choisir un. Il y a eu des discussions de temps à autre sur la façon de "superposer" plusieurs LSM, mais cela n'a pas encore été fait.


6
SELinux et AppArmor ne sont pas des implémentations de l'interface Linux Security Module (LSM). Ils sont consommateurs de l'interface LSM.
ruief

17

Je n'utiliserais pas les deux.

SELinux et AppArmor font tous deux la même chose de base: limiter l'accès aux fichiers et aux dossiers aux seules applications qui en ont vraiment besoin.

Mais les deux mettent en œuvre cette idée de manières très différentes.

  • SELinux attache une étiquette à chaque fichier de votre système de fichiers et limite l'accès d'une application à certaines étiquettes.
    Par exemple: Apache ne peut utiliser que des fichiers et des dossiers étiquetés explicitement en tant que fichiers Web, contrairement à d'autres applications.
  • AppArmor accomplit la même chose sans utiliser d'étiquettes, il utilise simplement des chemins de fichiers.

(Ceci est une explication très très basique du fonctionnement de SELinux et AppArmor.)

Si vous utilisiez les deux, ils se gêneraient probablement l'un l'autre, et je ne vois vraiment aucun besoin ni avantage d'utiliser les deux.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.