В моей корпоративной политике говорится, что ящики Linux должны быть защищены с помощью SELinux (чтобы аудитор безопасности мог проверить флажок «да, мы очень безопасный!» для каждого сервера). Я надеялся воспользоваться превосходной защитой AppArmor от Ubuntu. Неразумно ли запускать как Apparmor, так и SELinux? (Если это так, можно ли смягчить эту плохую идею с помощью некоторых алерморов и / или selinux?)
Update 1/28 - Кеис Кук указал в своем ответе мертвую простоту, почему это плохая идея для запуска обоих - ядро Linux говорит, что вы не можете. [1 Более точно, интерфейс интерфейса модулей безопасности Linux разработан для одной запущенной реализации и не поддерживает более одной реализации. ]
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Ядро Linux предоставляет интерфейс модуля безопасности Linux, из которых оба являются реализациями SELinux и AppArmor. (Другие включают TOMOYO, Smack, ...) Этот интерфейс разработан в настоящее время, чтобы позволить только одному LSM работать одновременно. Невозможно запустить два одновременно, поэтому вы должны выбрать один. Время от времени обсуждалось, как «складывать» несколько LSM, но это еще не сделано.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.
Я бы не использовал оба.
Оба SELinux и AppArmor выполняют одну и ту же основную задачу: ограничение доступа к файлам и папкам только к приложениям, которым действительно нужен доступ.
Но оба они реализуют эту идею по-разному.
SELinux прикрепляет метку к каждому файлу в вашей файловой системе и ограничивает доступ приложения к определенным ярлыкам. Например: Apache может использовать файлы и папки, помеченные явно как веб-файлы, а другие приложения не могут. AppArmor выполняет то же самое без использования меток, он просто использует пути к файлам.(Это очень простое объяснение того, как работают SELinux и AppArmor.)
Если бы вы использовали оба варианта, они, вероятно, попадали бы друг в друга, и я действительно не вижу необходимость или преимущество использования обоих.