SELinuxとAppArmorを同時に実行するのは悪い考えですか？

私の企業ポリシーでは、LinuxボックスはSELinuxで保護する必要があると述べています（したがって、セキュリティ監査人は各サーバーの「はい、非常に安全です！」チェックボックスをチェックできます）。Ubuntuの素晴らしいデフォルトのAppArmorセキュリティを利用したいと思っていました。ApparmorとSELinuxの両方を実行するのは賢明ではありませんか？（もしそうなら、この悪い考えはいくつかの防具やselinuxの調整で軽減できますか？）

Linuxカーネルは、Linux Security Moduleインターフェースを提供します。SELinuxとAppArmorは両方ともその実装です。（その他にはTOMOYO、Smackなどがあります。）現在、このインターフェースは、一度に1つのLSMのみを操作できるように設計されています。2つを同時に実行する方法はないため、1つを選択する必要があります。複数のLSMを「スタック」する方法については時々議論されてきましたが、これはまだ行われていません。

両方は使いません。

SELinuxとAppArmorはどちらも同じ基本的なことを行います。ファイルとフォルダーへのアクセスを、本当にアクセスが必要なアプリケーションのみに制限します。

しかし、どちらもこのアイデアを非常に異なる方法で実装しています。

• SELinuxはファイルシステム内のすべてのファイルにラベルを添付し、アプリケーションのアクセスを特定のラベルに制限します。
  たとえば、ApacheはWebファイルとして明示的にラベル付けされたファイルとフォルダーのみを使用でき、他のアプリケーションは使用できません。
• AppArmorは、ラベルを使用せずに同じことを実行します。ファイルパスのみを使用します。

（これは、SELinuxとAppArmorの動作の非常に基本的な説明です。）

両方を使用する場合、それらはおそらく互いに邪魔になり、両方を使用する必要性や利点はまったくありません。