¿SELinux proporciona suficiente seguridad adicional para que valga la pena aprenderlo / configurarlo?

Recientemente instalé Fedora 14 en la PC de mi hogar y he estado trabajando en la configuración de diferentes funciones relacionadas con el servidor, como apache, mysql, ftp, vpn, ssh, etc. No había oído hablar anteriormente. Después de investigar un poco, parecía que la mayoría de la gente opinaba que debería deshabilitarlo y no lidiar con la molestia. Personalmente, si realmente agrega más seguridad, no me opongo a lidiar con los dolores de cabeza de aprender cómo configurarlo adecuadamente. Eventualmente planeo abrir mi red para que se pueda acceder a esta PC de forma remota, pero no quiero hacerlo hasta que tenga la seguridad de que es segura (más o menos). Si lo configuró y lo hizo funcionar correctamente, ¿cree que valió la pena el tiempo y la molestia? ¿Es realmente más seguro? Si ha optado por no usarla, ¿esa decisión se basó en alguna investigación que valga la pena considerar también en mi situación?

linux security selinux Kenneth
fuente

tenga en cuenta que una buena mentalidad de seguridad es que ninguna seguridad debería costar más para implementar que el valor de lo que está protegiendo. Por lo tanto, si su tiempo vale $ 50 por hora, y le tomará 8 horas implementar SELinux, pero solo tomaría 1 hora promedio para reparar, y tal vez $ 50 para reemplazar un dispositivo ... (pensando en el enrutador). vale la pena el costo de implementar SELinux. Sin embargo, si sus datos son irremplazables, y no es un compromiso, costaría millones, pero su implementación tardaría 100k ... vale la pena.

xenoterracide

Respuestas:

SELinux mejoró la seguridad local al mejorar el aislamiento entre procesos y al proporcionar políticas de seguridad más precisas.

Para máquinas multiusuario, esto puede ser útil debido a las políticas más flexibles, y plantea más barreras entre los usuarios, por lo que agrega protección contra usuarios locales maliciosos.

Para los servidores, SELinux puede reducir el impacto de una vulnerabilidad de seguridad en un servidor. Cuando el atacante pueda obtener privilegios de usuario local o root, SELinux solo le permitirá deshabilitar un servicio en particular.

Para el uso doméstico típico, donde serás el único usuario y querrás poder hacer todo de forma remota una vez autenticado, no obtendrás ninguna seguridad de SELinux.

Gilles 'SO- deja de ser malvado'
fuente

pero si planeo convertirlo en un servidor en el que otros puedan iniciar sesión de forma remota con sus propias credenciales, ¿aún podría beneficiarme de una configuración correcta? Eso no está en los planes inmediatos, pero eventualmente podría ser ...

Kenneth

@Kenneth: cuantos más servicios ejecute y más usuarios tenga, más seguridad puede brindar SELinux. En el extremo de una máquina de un solo usuario con solo ssh, SELinux no sirve. Más allá de eso, sí, es útil, pero es una gran inversión. Siempre tenga en cuenta que una herramienta de seguridad mal entendida es una responsabilidad, porque puede tener una falsa sensación de seguridad si se confía demasiado en sus habilidades, y existe el riesgo de que la configure mal e introduzca un agujero de seguridad.

Gilles 'SO- deja de ser malvado'

@Kenneth: la ventaja de aprenderlo ahora es que si lo necesitas con ira, ya habrás aprendido muchas de sus debilidades ... y tiene algunas :-)

Rory Alsop

SELinux puede tener fuertes beneficios para el uso doméstico. Elaboraré más tarde.

mattdm

SELinux puede hacer cosas brillantes, incluso en una máquina de un solo usuario, como aplicaciones de sandboxing.

wzzrd

El problema con SELinux para personas que no son de TI como yo es que no se identifica como la causa de los problemas de permisos; en otras palabras, los errores que obtiene no se distinguen de otros errores más comunes y SELinux es el último lugar donde buscará para lo cual podrá obtener respuestas públicamente. Este es el peor tipo de característica IMO.

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

Jeremy Leipzig
fuente