我现在需要迁移到新服务器。虽然我知道 SELinux 的优点,但当防火墙/网关仅用于将流量路由到不同的目标主机时,是否有必要保持 SELinux 处于启用状态。
用户将不会登录或在防火墙上存储任何数据。在这种情况下,使用 SELinux 有多重要?
它会使防火墙更安全吗?还是 SELinux 会让事情变得不必要地复杂化?提前感谢您的建议。
答案1
SELinux 是确保安全性的绝佳组件。为您的服务器配置它有很多好处,无论它们是否面向公众。防火墙在过滤不必要或恶意活动方面做得很好,但您的安全漏洞仍然可能被外部漏洞以及配置或有缺陷的软件中的内部漏洞利用。
虽然防火墙/路由器上没有 SELinux 也可以解决问题,但如果有人闯入您的设备,SELinux 会限制入侵范围。SELinux 的设计理念之一是限制服务,使它们无法超越其适当的访问权限 - 因此,即使有人获得了升级权限或破坏了您的安全层,他们也无法完全访问您的整个路由器甚至整个内部网络。
这里有一个关于 SELinux 的简短解释。至于如何使用它,花点时间看一些相关视频 - 它并不太复杂,但它需要你重新思考如何保护 Linux 系统中的文件和服务。