简单调查一下 SELinux 的使用情况

2020-01-13 16:18:22 +08:00
 Nitroethane

做一个简单调查,各位 V 友说一下自己所在的行业,以及生产服务器 SELinux 的使用情况呗

9984 次点击
所在节点    Linux
55 条回复
Buges
2020-01-13 21:47:07 +08:00
非常希望 Windows 这样的桌面系统能有 SELinux 这种针对进程而非用户的权限管理机制,然而服务器上是真的用不到。
YaakovZiv
2020-01-13 22:58:56 +08:00
运营商,直接关掉,全硬件安全设备,业务主机专注业务
sc2yml
2020-01-13 23:11:06 +08:00
传统金融行业,直接关掉,全硬件安全设备,小机和 X86 专注业务
yanqiyu
2020-01-13 23:20:11 +08:00
会自己写 policy,会解决大多数遇到的问题。从 VPS 到家用 NAS 都保证所有服务在 SELinux 的管理之下(偶尔自己写 policy )
虽然大多数情况也就是 audit2allow 然后看一下生成的策略对不对,有问题手改一下然后安装。
iRiven
2020-01-13 23:22:21 +08:00
手机有服务器没有⊙.☉
DANG
2020-01-13 23:36:03 +08:00
直接关,导致的问题一大堆还没啥用
MeteorCat
2020-01-14 00:32:08 +08:00
@Nitroethane 主要项目成型的互联网公司大概率不会启用,你敢在正式服务器乱开你就等着挨喷。测试服务器开权限一般也没这么严,不然整个测试环境还得顺带搞个 selinux 是真的麻烦,再说 docker 直接包个隔离外部的容器也不怕入侵。
webshe11
2020-01-14 02:20:57 +08:00
不会玩,年轻的时候学了一波现在忘光了。需要权限隔离的地方都用 docker 这种容器或者虚拟机了
omph
2020-01-14 05:05:27 +08:00
不知道国外的情况怎么样,如果大家都用不了,包括商用及家用,干嘛大家不提出来默认移除或推进简化?
Mutoo
2020-01-14 05:46:35 +08:00
不会用就关掉,这种心态几乎和 chmod 777 没啥两样。
https://wiki.centos.org/zh/HowTos/SELinux
Nitroethane
2020-01-14 08:27:50 +08:00
@MeteorCat #27
@webshe11 #28
其实 docker 的 container 默认的权限配置也有问题的。docker 以及 k8s 领域的安全问题也是今后研究的重点。
而且也不是说上来直接所有的服务器都 enforcing,应该先在 UAT 环境每个阶段选若干台设置成 permissive 过渡,边看日志边调

@DANG #26
@MeteorCat #27 其实这里的问题在于,CentOS 这种发行版 SELinux 的默认状态是 enforcing,而且以前各个软件对 SELinux 的支持可能不是太好,再加上管理人员对这玩意不熟,所以才导致一大堆坑。

@omph #29
@Mutoo #30
昨天晚上在 hacker news 搜了一下以前的文章,看了评论之后跟咱们这个贴讨论的情况差不多,大多数都是 disable,只有极少数 enforcing。而且 disable 的人基本都是这样一个循环:刚装完系统,有些服务莫名其妙跑不起来 -> 排查了半天没找到原因 -> 将 SELinux 的状态改成 permissive -> 服务成功跑起 -> F*** SELinux
yEhwG10ZJa83067x
2020-01-14 08:34:25 +08:00
我想知道大公司的运维也是一股脑的关掉 selinux 吗?
MeteorCat
2020-01-14 08:56:40 +08:00
@Nitroethane 其实后来习惯直接关掉,毕竟这么多年都直接关也没出过大问题,所以现在也成习惯
dxgundam01
2020-01-14 08:59:20 +08:00
@Buges windows 这么多年努力把蓝屏率降下去,加个这样的功能,估计升回去 98 水平啊

@Mutoo 不会用就关掉就关掉有什么问题,难道不会用还开着等着出一堆问题吗?安全由安全设备来做,各司其职。selinux 这么多年来就是这种火不起来的情况,他自己的定位就应该好好理下才对

@Nitroethane selinux 启用几乎要全部环境都上,要出了问题调试量是多么可观你自己考虑下,工作要考虑投入和产出。安全由安全设备来做,selinux 还是拜拜吧
openbsd
2020-01-14 09:33:59 +08:00
一直想把这玩意儿整明白
借问 LZ/楼上各大神 有没相关详解的书籍推荐 ?
lc7029
2020-01-14 11:11:35 +08:00
在用 RHEL 和 CentOS,有配置 SElinux 规则。
公司要求强制开启,否则服务器不能接入生产网
JimmyTinsley
2020-01-14 11:16:11 +08:00
我在自己的 VPS 上装 v2ray 的时候被 SELinux 坑了很久没找到原因, 主要原因还是对这玩意儿不熟, 后来就直接同一楼了.
xFrank
2020-01-14 11:54:26 +08:00
Android 上早就打开了,用的挺好。
不夸张的说,这玩意是有史以来最强大的漏洞利用缓解措施
Nitroethane
2020-01-14 12:08:42 +08:00
@openbsd #35 我最近正在看的文档有:CentOS 的 HowTo: https://wiki.centos.org/HowTos/SELinux,Gentoo 的 wiki: https://wiki.gentoo.org/wiki/SELinux,RedHat 的 wiki: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index

@xFrank #38
@iRiven #25
Android 上是默认启用的,不过不知道什么时候开始用的

@lc7029 #36 能透露一下是什么行业吗?之前问了在某大银行工作的同学,说他们的生产服务器没有开 SELinux


@dxgundam01 #34 SELinux 火不起来的原因主要是不友好,而且本身的机制比较复杂,导致难上手,而且新系统默认 enforcing,从而导致奇怪的问题。安全设备只能承担一部分的安全责任。我前面说了,刚开始的时候肯定不能 enforcing 以及生产服务器全部开启,肯定得有一段过渡期。
NerverLibis
2020-01-14 12:09:15 +08:00
自带漏洞,必关闭

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/637550

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX