我有兩台 Fedora 筆記型電腦和一台 CentoOS 家庭伺服器,但除了家庭成員使用的 smb 共享之外,我是唯一使用其中任何一台的人。如果我的機器上沒有任何其他常規用戶,SELinux 是否有任何真正的好處?有充分的理由不將其關閉嗎?
答案1
Selinux 用於強制進程類型。這與使用者隔離不同。
如需了解 SELinux 的簡單指南,請查看 SELinux 著色書(是的,它確實是一本著色書)。
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
對於工作站來說,SELinux 並不像伺服器上那麼重要。但是,它會阻止惡意進程存取其他進程。
答案2
如果您正確設定了使用者和群組權限,則不必擔心其他常規使用者。
SELinux 旨在保護您免受違規行為的影響,即有人利用程式或設定錯誤使您的電腦執行不符合您利益的操作。這可能是使用在您的電腦、瀏覽器或您下載並執行的某些軟體上執行的網路守護程式。即使插入某些裝置(例如惡意 USB 隨身碟)也可能很危險。
當然,必須正確設定 SELinux 才能保護您的電腦。如果不是,您也可以將其關閉。
答案3
是的。
SELinux 旨在沙箱應用程序,因此它們只能執行特定的批准功能。例如,如果某個網站欺騙您的瀏覽器下載並安裝 RASKit,SELinux 將(假設您的設定檔定義正確)阻止安裝 RASKit。
除了像瀏覽器這樣接收遠端輸入的應用程式之外,SELinux(再次強調,如果使用得當)還將防範偽裝成可信任應用程式的惡意應用程式。例如,如果您的發行版儲存庫受到損害,並被欺騙向您的應用程式推送不良版本的更新,SELinux 應該會阻止它們採取合法版本不允許的操作。
強制存取控制與其說是關於用戶,不如說是關於應用程序,SELinux 或 AppArmor 旨在防止這些應用程式超出其預期的權限級別。這對於以 root 身分運行的應用程式尤其重要。