LINUX.ORG.RU

SELinux - «де факто» или «опция»?

 , , , ,


1

6

Добрый день!

Интересно узнать ваше мнение о таком механизме защиты, как SELinux. Всегда ли вы настраиваете SELinux на «промышленных» системах? Или скорее воспринимаете, как «полезную опцию» и используете лишь в отдельных случаях? Передо мной сейчас стоит задача спроектировать гео-распределённый веб-проект с несколькими серверами под управлением OS Linux RHEL 7.1 В ТЗ специально не указано про SELinux. Про защиту вообще сказано крайне мало - в основном касается правил для межсетевого экрана. По этой причине и появился вопрос: «де факто» (настраивать на любой системе) или «опциональная возможность»?

Спасибо.

напиши в тех поддержку rhel, они тебе выкатят примеры уязвимостей, которые ловятся selinux

настраивать конечно, сначала в permissive-режиме, потом после анализа логов - в enforcing

alpha ★★★★★ ()

label-based mac === «громоздкая неудобная херня».

Если нужна безопасность - я лучше сервисы по виртуалкам с grsec-ядром рассажу.

anonymous ()

По умолчанию SELinux в оси включен , но для ИБ для защиты ИСПДн мандатный доступ не нужен, а включенный сервис отжирает 5-7% (по инфе вендора). реализуем ролевой доступ

igorprint ()

LXC + AppArmor (очевидным образом path based перестаёт быть проблемой).

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.