SELinux + Apparmor - page 1 - Linux

Forum Security-X > Linux

SELinux + Apparmor

(1/4) > >>

Tawal:
Bonjour, :AAC

Je suis en train de regarder SELinux

Outre le fait qu'il vaut mieux utiliser postfix qu' exim en Mail Transfert Agent (MTA)

Je me demande si SELinux et Apparmor peuvent coexister ? Et n'est-ce pas redondant ? ::)

Je sais bien que ces deux systèmes de contrôle d'accès n'agissent pas au même niveau (je crois) et pas de la même façon (c'est sûr ^^).

Merci de m'éclairer :AAN

igor51:
Mais pourquoi tu parles de postfix et exim ???

SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control) c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.

Selinux = plus puissant, mais plus compliqué à configurer/maintenir
ArrArmor = plus simple à configurer, mais moins expressif

Tawal:
Re,

--- Citer ---Mais pourquoi tu parles de postfix et exim ???

--- Fin de citation ---
Tout simplement parce que mon MTA est exim4 et qu'il est fortement recommandé d'utiliser postix avec SELinux

SELinux - mail servers (postfix/exim/etc) ;)

--- Citer ---SELinux est une MAC faisant du contrôle d'accès à grain fin (il agit au niveau des appels système)
AppArmor est plus un pbac (process based access control) c'est à dire que tu vais définir des acl supplémentaires (appliqués différement que les classiques), un peu comme grsecurity.
--- Fin de citation ---
Si je comprends bien, en utilisant SELinux, Apparmor devient "inutile" car le processus qu'il confine a déjà des restrictions en amont engendrées par SELinux.
Si tout est bien configuré ... :hi:

Merci bien, au plaisir d'échanger avec toi :AAN

igor51:
Tu peux les empiler, normalement depuis quelques noyau c'est possible (même si au final apparmor ne sert à rien) mais effectivement ça n'en vaut pas le coup.
Ca peut être l'occasion de faire la politique SELinux pour exim.

D'un point de vu pratique, SELinux est beaucoup plus fonctionnel sous les systèmes REDHAT( centos, fedora, etc) que sous les debian like, car c"'est maintenu par red hat.

Tawal:
Bonjour,

Un bon papier sur SELlinux : https://fedoraproject.org/wiki/SELinux

:AAN

Navigation

[0] Index des messages

[#] Page suivante

Sortir du mode mobile