我有两台 Fedora 笔记本电脑和一台 CentoOS 家庭服务器,但除了家庭成员使用的 smb 共享外,我是唯一使用它们的人。如果我的机器上没有其他常规用户,SELinux 有什么实际好处吗?有什么好理由不将其关闭?
答案1
Selinux 用于强制执行进程类型。这与用户隔离不同。
要获得真正简单的 SELinux 理解指南,请查看 SELinux 着色书(是的,它确实是一本着色书)。
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
对于工作站来说,SELinux 并不像在服务器上那么重要。但它可以阻止恶意进程访问其他进程。
答案2
如果您正确设置了用户和组权限,那么您不必担心其他常规用户。
SELinux 旨在保护您免受违规行为的侵害,即有人利用程序或配置错误让您的计算机执行一些您不希望做的事情。这可能是使用您计算机上运行的网络守护程序、您的浏览器或您下载并执行的某些软件。甚至插入某些设备(如恶意 USB 棒)也可能很危险。
当然,必须正确设置 SELinux 才能保护您的计算机。如果没有,您最好将其关闭。
答案3
是的。
SELinux 旨在对应用程序进行沙盒处理,使它们只能执行特定的批准功能。例如,如果某个网站诱骗您的浏览器下载并安装 RASKit,SELinux 会(假设您的配置文件定义正确)阻止安装 RASKit。
除了浏览器等接收远程输入的应用程序外,SELinux(再次强调,如果使用得当)还可以防止流氓应用程序伪装成受信任的应用程序。例如,如果您的发行版存储库受到攻击,并被诱骗将错误版本的更新推送到您的应用程序,SELinux 应该会阻止它们采取合法版本不允许采取的行动。
强制访问控制与用户关系不大,与应用程序关系更大,SELinux 或 AppArmor 旨在防止这些应用程序超出其预期的权限级别。这对于以 root 身份运行的应用程序尤其重要。