請問您還用 selinux 嗎? - Linux

※ 引述《pgychen (pp)》之銘言：
: 記得好像是 2000 年 (遠目)
: 美國國家安全單位, 在沒有預告的情況下, 發出了一個 selinux
: 突然之間, linux 讓人覺得價值倍增, 因為有美國國家安全單位的背書
: "國家安全保證"耶, 各套件也都紛紛地加入此一套件
這樣講怪怪的，selinux是NSA為了加強linux的安全性才開發出來的，不是背書
它也不是一個套件而已，是一個架構，而且需要kernel支援
光是所有的檔案都要加上seliunx labels，這連檔案系統和工具都要改了吧

: 但 ubuntu/debian 則直接不安裝了
debian lenny的selinux進入standard套件類別了，不過還是沒有預設啟動

: 現在在 google 上 selinux 的搜尋建議,竟然是 "selinux 關閉", "selinux disable"
: 排在最前面兩名, 所以代表大部分人, 還是先關掉它
: 想請問大家
: 是 selinux 很難設定嗎? 還是 linux 本身就很安全了, 一點都不需要 selinux ?
我覺得不難，基本上我用fedora除了第三方套件，幾乎沒什麼selinux衝突需要解決的
遇到衝突，現在也有很方便的selinux troubeshooting工具，具體呈現和提供建議
不用像以往一樣要到messages or aduit.log去挖，挖到還不一定看得懂

大部分的衝突都是file label錯了，比如說把/home底下的東西直接搬去/var/www
httpd就不會吃。再來是有些第三方lib要relax，用chcon -t textrel_shlib_t改掉就行
最後大絕招就是自訂規則，也不難，都有現成工具，只要把selinux denied的訊息餵入
就可以產生自定規則了。Fedora Doc有很完整的selinux說明文件

至於安全，我曾經有跑過一台Fedora Core 5三年，早就過了更新支援，沒事
但其它兩台Solaris卻被駭，所以我架server一定會開selinux

--

Nice to meld you.

--