这个问题可能只是个人观点的问题,但我想收集一下你们对于在 Web 服务器上启用 SELinux 的重要性的看法。
在您看来,增加安全性是必须的还是只是锦上添花?性能损失值得吗?这样做值得吗?您是否推荐替代方案(例如:mod_security)?
我期待听到大家的想法!
答案1
说实话,我觉得这不值得。是的,它提供了额外的安全级别,但代价不菲。安全不是绝对的;你所要做的就是比其他面临类似被攻击风险的目标做得更好(或者如果被攻陷,对攻击者有类似的好处)。考虑到仍然可以使用一些简单的密码暴力破解、简单的 Web 应用程序漏洞和大量过时的补丁级别打开的服务器数量,如果你真的做了所有这些事情,那么相对于数百万其他系统,你是如此的无懈可击,以至于你的入侵风险已经很低,不值得再浪费时间了。
当然,这是假设您的风险分析以非针对性攻击为中心。如果您可能成为特别熟练或有动机的攻击者的目标(要么是因为您是一个有价值的目标,比如银行,要么是因为有人特别想打倒您,比如索尼),那么您可能想要看看 SELinux 或者一些其他小众安全产品。