저는 Fedora 노트북 두 대와 CentoOS 홈 서버 한 대를 가지고 있지만 가족 구성원이 사용하는 smb 공유를 제외하고는 그 중 하나를 사용하는 유일한 사람입니다. 내 컴퓨터에 다른 일반 사용자가 없으면 SELinux에 실질적인 이점이 있습니까? 그냥 꺼두지 말아야 할 타당한 이유가 있나요?
답변1
Selinux는 프로세스 유형을 적용하기 위한 것입니다. 이는 사용자 격리와는 다릅니다.
SELinux를 이해하기 위한 매우 간단한 가이드를 보려면 SELinux 색칠 공부 책을 살펴보세요(예, 실제로는 색칠 공부 책입니다).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
워크스테이션의 경우 SELinux는 서버만큼 중요하지 않습니다. 그러나 이는 불량 프로세스가 다른 프로세스에 액세스하는 것을 방지합니다.
답변2
사용자 및 그룹 권한을 올바르게 설정했다면 다른 일반 사용자에 대해 걱정할 필요가 없습니다.
SELinux는 불규칙성, 즉 누군가가 프로그램이나 구성 결함을 이용하여 귀하의 컴퓨터가 귀하에게 관심이 없는 일을 하게 만드는 것으로부터 귀하를 보호하기 위한 것입니다. 이는 컴퓨터, 브라우저 또는 다운로드하고 실행한 일부 소프트웨어에서 실행되는 네트워킹 데몬을 사용할 수 있습니다. 악성 USB 스틱과 같은 일부 장치를 연결하는 것조차 위험할 수 있습니다.
물론 컴퓨터를 보호하려면 SELinux를 올바르게 설정해야 합니다. 그렇지 않다면 꺼두셔도 좋습니다.
답변3
예.
SELinux는 승인된 특정 기능만 수행할 수 있도록 샌드박스 앱용으로 설계되었습니다. 예를 들어, 사이트에서 브라우저를 속여 RASKit을 다운로드하고 설치하게 한 경우 SELinux는 (프로필이 올바르게 정의된 경우) RASKit 설치를 방지합니다.
브라우저와 같은 원격 입력을 수신하는 애플리케이션 외에도 SELinux(올바르게 사용되면 다시 한 번)는 신뢰할 수 있는 앱으로 가장하는 악성 앱으로부터 보호합니다. 예를 들어 배포판 리포지토리가 손상되어 잘못된 버전의 업데이트를 애플리케이션에 푸시하도록 속인 경우 SELinux는 합법적인 버전에서 수행할 수 없는 작업을 수행하는 것을 방지해야 합니다.
필수 액세스 제어는 사용자에 관한 것이 아니라 애플리케이션에 관한 것이며 SELinux 또는 AppArmor는 이러한 애플리케이션이 예상되는 권한 수준을 초과하지 못하도록 설계되었습니다. 이는 특히 루트로 실행하는 응용 프로그램의 경우 중요합니다.