通过我迄今的(短)工作经验,从实施的angular度以及如何pipe理SELinux,我已经获得了相当多的SELinux工作知识。
我个人对SELinux有一些疑虑,比如在很多方面似乎过于复杂,似乎安全性似乎很难理解。 所以,我想知道这个行业对SELinux有多热情。
你在你的生产服务器上使用SELinux吗? 如果是这样,你有什么样的成功? 没有严重泄露细节,但你是否为一个与政府有关的组织(DoD / DoJ,国防承包商等)工作? 有非政府公司认为有用吗?
SELinux在揭露整个Linux系统的复杂性方面做得很好。 现代的Fedora和RHEL系统受到了很多[SELinux]的关注,大部分你不会知道SELinux是“运行”的(它不是deamon,它主要是在内核中挂钩,加上决策的安全策略) 。
安全性的一个有趣的(有时令人沮丧的)方面是“它在做什么?”这个问题。 或者“它在工作吗?”。 那么如果它工作,你可能永远不会知道。 如果你正在运行一个web服务器,并且它刚刚停止运行,那么你可能不知道有一些漏洞甚至被用来对付你的系统。
至于政府方面,似乎有一些公开的资料来源(政府项目清单等),似乎指出MAC(强制访问控制,即SELinux)正在被使用,可能性相当大。 政府系统根据部署情况和系统所掌握的信息,在使用之前必须符合某些标准。
至于私人公司,我不知道。 如果他们需要SELinux带来的完整性,那么他们应该这样做。
最终安全是真正的风险pipe理,select合适的努力水平。 另外安全是一个持续的努力,而不是你只是“打开”
我所知道的很多商店都想使用SELinux,但是无法使用。 例如,许多为RHEL构build产品的供应商明确要求closuresSELinux。 只要像Oracle这样的关节不能很好地支持SELinux,除了Web服务器(我总是把它放在这个服务器上 !)之外,我并没有看到它耗费大量的时间。SELinux不再那么复杂了。 如果你看看RHEL4和RHEL5,并比较两个SELinux的复杂程度,差别是巨大的。 如果您将Fedora 11与RHEL5进行比较,则差异会很大。 大步迈进,但只要Oracle认为SELinux不值得支持,你会看到很多人关掉它。
如果您只是想在许多知名的服务器和代理商的附近提供一个额外的安全层,您不必自定义SELinux并编写自己的configuration文件。 一些优秀的Linux发行版中的默认configuration将增加系统的安全级别,以防服务受到攻击。