Ich habe zwei Fedora-Laptops und einen CentoOS-Heimserver, aber ich bin die einzige Person, die diese verwendet, mit Ausnahme einer SMB-Freigabe, die ein Familienmitglied verwendet. Hat SELinux einen echten Vorteil, wenn auf meinen Rechnern keine anderen regulären Benutzer sind? Gibt es einen guten Grund, es nicht einfach ausgeschaltet zu lassen?
Antwort1
Selinux dient zum Erzwingen von Prozesstypen. Dies ist nicht dasselbe wie Benutzerisolierung.
Eine wirklich einfache Anleitung zum Verständnis von SELinux finden Sie im SELinux-Malbuch (ja, es ist wirklich ein Malbuch).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
Für eine Workstation ist SELinux nicht so wichtig wie für einen Server. Allerdings würde es verhindern, dass ein unerwünschter Prozess auf andere Prozesse zugreift.
Antwort2
Wenn Sie Ihre Benutzer- und Gruppenrechte richtig eingerichtet haben, müssen Sie sich um andere normale Benutzer keine Sorgen machen.
SELinux soll Sie vor Unregelmäßigkeiten schützen, d. h. vor jemandem, der Programm- oder Konfigurationsfehler ausnutzt, um Ihren Computer dazu zu bringen, etwas zu tun, was nicht in Ihrem Interesse ist. Dies könnte die Verwendung von Netzwerk-Daemons sein, die auf Ihrem Computer ausgeführt werden, Ihres Browsers oder einer Software, die Sie heruntergeladen und ausgeführt haben. Sogar das Anschließen bestimmter Geräte wie bösartiger USB-Sticks kann gefährlich sein.
Natürlich muss SELinux richtig eingerichtet sein, um Ihren Computer zu schützen. Wenn dies nicht der Fall ist, können Sie es auch gleich ausschalten.
Antwort3
Ja.
SELinux ist dafür konzipiert, Apps in einer Sandbox zu betreiben, so dass sie nur bestimmte, zugelassene Funktionen ausführen können. Wenn beispielsweise eine Site Ihren Browser dazu verleitet, ein RASKit herunterzuladen und zu installieren, würde SELinux (vorausgesetzt, Ihr Profil ist richtig definiert) die Installation des RASKit verhindern.
Zusätzlich zu Anwendungen, die Remote-Eingaben empfangen, wie Browser, schützt SELinux (auch hier gilt: wenn es richtig verwendet wird) auch vor betrügerischen Apps, die sich als vertrauenswürdige Apps ausgeben. Wenn beispielsweise die Repositories Ihrer Distribution kompromittiert und dazu verleitet werden, fehlerhafte Versionen von Updates für Ihre Anwendungen herunterzuladen, sollte SELinux verhindern, dass sie Aktionen ausführen, die die legitime Version nicht ausführen darf.
Bei der obligatorischen Zugriffskontrolle geht es weniger um Benutzer als vielmehr um Anwendungen. SELinux oder AppArmor sind darauf ausgelegt, zu verhindern, dass diese Anwendungen ihre erwarteten Berechtigungsstufen überschreiten. Dies ist insbesondere für Anwendungen wichtig, die Sie als Root ausführen.