SELinuxはRedhatをより安全にしますか？

SELinuxはRedhatをより安全にしますか？

SELinuxを無効にした回数を思い出せません。これは、物事を実行する能力に苛立ち続けたためです。多くの場合、物事がうまくいかなかった明確な理由はありませんでした。その理由を見つけるために、Googleに問い合わせる必要がありました。

エンタープライズユーザーであるRedhatの深刻なユーザーを除いて、ほとんどのカジュアルユーザーが邪魔になると思われる場合にセキュリティを無効にするか弱めますが、SELinuxは本当に便利ですか？

PS。すべてのアプリケーションにわたってSELinuxの問題を記録、追跡、管理するのに役立つツールはありますか？

はい、Selinuxはシステムをより安全にします。ただし、その概念を理解し、selinuxと監査ツールに関する少なくとも基本的な知識を持っている必要があります。

Selinuxは/var/log/audit/audit.logにログを記録しています（ただし、auditdが実行されていることを確認してください）。selinuxの問題を解決するためのツールがいくつかあります。おそらく最も簡単な方法は、audit2allowを使用することです。

はい、SELinuxは、実際に使用されていると想定して、Red Hat（および実際にそれを使用する他のLinuxディストリビューション）をより安全にします。

SELinuxは必須のアクセス制御を実装しています。通常のUnixアクセス権、ACLなどは、任意アクセス制御を実装しています。2つはお互いを補完します。

SELinuxが機能するためには、システムで許可されるアクションを定義するポリシーが必要です。システムポリシー全体を最初から作成することは可能ですが、ほとんどのLinuxディストリビューションは、いわゆる参照ポリシーに基づいてポリシーを出荷します。これは、とりわけ、ディストリビューション間でのSELinuxの設定は非常に似ていることを意味します。（ほとんどのLinuxディストリビューションでは、SELinux参照ポリシーをパッケージリポジトリで使用できますが、デフォルトではインストールされない場合があります。）

SELinuxは、ポリシーで許可されているアクションのみを実行するようにユーザーとプロセスを制限することで機能します。デフォルトでは、ポリシーは拒否するため、ポリシーが明示的にアクションを許可しない場合、アクションは発生しません。これが、SELinuxが実行しようとしていることを許可しないという問題に頻繁に遭遇する理由です。

明るい面では、これはまた、悪用、たとえゼロデイ悪用であっても手に負えなくなることを防ぎます。たとえば、Webサーバー（Apache）が悪用された場合、被害はApacheがアクセスできるものに限定されます。/etc/shadowたとえば、リモートのルートエクスプロイトを使用しても、ファイルを読み取ることはできません。Unixパーミッション（DAC）はrootがファイルを読み取ることを許可しますが、SELinux（MAC）は侵害されたプロセスが境界を超えることを許可しません。

重要なのは、サービスにSELinuxポリシーモジュールが読み込まれている必要があることです。SELinuxポリシーモジュールを含まないサービスをボックスにインストールすると、サービスは制限されずに実行され、必要なことをすべて実行できます。SELinuxは適用されません。

もう1つ知っておくべきことは、ブール値についてです。これらの調整可能なパラメーターは、SELinuxポリシーによって提供され、特定のインストール用にそれらをカスタマイズし、ローカル構成のニーズに基づいてアクセスを許可または拒否します。たとえば、ApacheにSamba共有へのアクセスを許可し、Sambaがユーザーのホームディレクトリを共有できるようにしたり、一部のセットアップに必要な他の多くの潜在的に有用なものを共有したりできます。

現在目にしたSELinuxの最良のガイドは、Red HatのSecurity-Enhanced Linux User Guideです。それはあなたがすぐに立ち上がって実行するのを助けるだけでなく、何が起こっているかの背景の詳細​​を記入するのに役立ちます。また、SELinuxでプロセスを実行するのに役立つ包括的なトラブルシューティングガイドも含まれています。

役に立ちましたか？

SELinuxは、予期しないことを行うプロセス（およびユーザーを制限している場合はユーザー）から保護します。これにより、リモートエクスプロイトによる被害を大幅に制限できます。リモートの妥協を経験したことがない場合、あなたは（1）幸運であり、（2）おそらく新しいです。あなたがリモートの妥協に取り組んできたなら、あなたは確かに二度とそれが二度と起こらないことを望んでいません。

自宅でインターネットに接続しているサービスを実行している場合（一部の人は実行している場合を除く）は、自宅の設定ではそれほど役に立ちません。その場合、上記のすべてが適用されます。

SELinuxは、あなたのデータと、本当にそれを望んでいるゼロデイエクスプロイトを持つ攻撃者との間に存在する最後のものかもしれません。あなたがいる場合することができ、それを使用し、なぜあなたはないでしょうか？

SELinuxは、許可に拡張設定を導入することにより、従来の許可システムを拡張するだけだと思います。それはあなたのシステムをより安全にしますか？アプリケーションでSELinuxをどのように使用するかによります。また、SELinuxは得意ではありませんが、SELinuxを構成するには、提供できる制限についてより多くの知識が必要です。しかし、それはまた、克服するために手動で調査する必要がある多くの問題をもたらします

setroubleshootという名前のSELinuxによって引き起こされる問題をユーザーが見つけるのに役立つパッケージがあります。インストールし、起動時に実行するように設定します。次に、SELinux拒否を取得すると、それがに記載され/var/log/messagesます。GUIにもログインしている場合は、通知が表示されます。