SELinuxは、面倒な学習/セットアップに見合うだけの十分なセキュリティを提供しますか？

私は最近、自宅のPCにFedora 14をインストールし、Apache、mysql、ftp、vpn、sshなどのさまざまなサーバー関連機能の設定に取り組んでいます。以前に聞いたことがありませんでした。いくつかの調査を行った後、ほとんどの人は、面倒なことに対処するのではなく、無効にするだけでよいと考えているように見えました。個人的にそれが本当により多くのセキュリティを追加するならば、私は適切にそれを設定する方法を学ぶことの頭痛に対処することに反対していません。最終的には、このPCがリモートでアクセスできるようにネットワークを開く予定ですが、安全であると確信する（多かれ少なかれ）までそのようなことはしたくありません。設定して正しく機能している場合、時間と手間をかける価値があったと思いますか？本当に安全ですか？あなたがそれを使用することをオプトアウトした場合、その決定は私の状況でも考慮する価値のある研究に基づいていましたか？

linux security selinux

— ケネス
ソース

優れたセキュリティの考え方は、セキュリティが保護しているものの価値以上に実装に費用がかからないということです。したがって、時間に1時間50ドルの価値があり、SELinuxを実装するのに8時間かかるが、修理に平均1時間しかかからず、デバイスを交換するのに50ドルかかる場合は...（ソーホールーターを考える） SELinuxを実装するコストに見合う価値があります。ただし、データがかけがえのないものであり、妥協がなければ数百万の費用がかかりますが、実装するには100kかかります...価値があります。

— ゼノテラサイド

回答:

SELinuxは、プロセス間の分離を改善し、よりきめ細かいセキュリティポリシーを提供することにより、ローカルセキュリティを強化しました。

マルチユーザーマシンの場合、これはポリシーがより柔軟であるため便利です。また、ユーザー間の障壁が高まるため、悪意のあるローカルユーザーに対する保護が追加されます。

サーバーの場合、SELinuxはサーバーのセキュリティ脆弱性の影響を軽減できます。攻撃者がローカルユーザーまたはルート権限を取得できる場合、SELinuxは特定のサービスを無効にすることのみを許可する可能性があります。

あなたが唯一のユーザーであり、一度認証されるとリモートですべてにアクセスできるようになる典型的な家庭での使用では、SELinuxからセキュリティを取得することはできません。

— ジル「SO-悪であるのをやめる」
ソース

しかし、他の人が自分の資格情報を使用してリモートでログインできるサーバーにすることを計画している場合、正しいセットアップの恩恵を受ける可能性はありますか？これは当面の計画ではありませんが、最終的に

— ケネス

@Kenneth：実行するサービスが多く、ユーザーが多いほど、SELinuxがもたらすセキュリティは大きくなります。sshのみのシングルユーザーマシンの極端な場合、SELinuxは役に立ちません。それを超えて、はい、それは有用ですが、それは大きな投資です。十分に理解されていないセキュリティツールは、その能力に自信を持ちすぎると誤ったセキュリティを感じる可能性があり、誤って設定してセキュリティホールを導入するリスクがあるため、十分に理解されていないセキュリティツールには責任があることに常に留意してください。

— ジル 'SO-悪である停止

@ケネス-今それを学ぶことの利点は、あなたが怒りでそれを必要とするなら、あなたはすでにその多くのことを学んでいるということです...そしてそれはいくつかあり

— ロリー・

SELinuxは、家庭での使用に大きなメリットがあります。後で詳しく説明します。

— mattdm

SELinuxは、サンドボックスアプリケーションのように、単一のユーザーマシン上でも素晴らしい機能を実行できます。

— wzzrd

私のような非IT担当者向けのSELinuxの問題は、アクセス権の問題の原因として自分自身を特定できないことです。つまり、発生するエラーは他の一般的なエラーと区別できず、SELinuxは最後に見る場所です。回答を公開することができます。これは、機能IMOの最悪のタイプです。

http://jermdemo.blogspot.com/2011/10/selinux-for-enhanced-headaches.html

— ジェレミー・ライプツィヒ
ソース