SELinux и AppArmor добавляют дополнительный уровень защиты системе Linux, устанавливая строгие правила доступа, выходящие за рамки стандартных разрешений файлов. 1 Эти механизмы значительно снижают риски и ограничивают ущерб от нарушений безопасности. 1

Некоторые рекомендации по защите системы с помощью SELinux:

• Настроить режимы работы. 25 У SELinux есть три режима: enforcing (по умолчанию, все неразрешённые действия блокируются), permissive (все неразрешённые действия выполняются, но записываются в журнал), disabled (SELinux отключён). 25
• Настроить политику безопасности. 2 Для каждого процесса, файла и пользователя определяются разрешения. 2 Можно начать с изменения целевой политики по умолчанию, которая ограничивает доступ к нескольким важным сервисам. 2
• Использовать логические переключатели. 2 Они позволяют динамически включать или отключать определённые политики безопасности во время работы. 2
• Минимизировать влияние на производительность. 2 Для этого нужно делать политику безопасности как можно более конкретной, избегая слишком широких правил, которые могут замедлить систему. 2
• Регулярно проверять профили и политику безопасности. 2 Можно удалять ненужные правила и объединять похожие, чтобы снизить нагрузку на систему. 2

Некоторые рекомендации по защите системы с помощью AppArmor:

• Использовать готовые политики. 5 AppArmor удобнее SELinux благодаря множеству готовых политик. 5
• Активировать механизм обучения. 5 Действия пользователей записываются в журнал, но не блокируются — так можно запустить новую защиту в качестве «пилота» и сразу устранить ошибки. 5
• Использовать инструменты управления. 2 Для SELinux это, например, setroubleshoot, для AppArmor — YaST. 2

Чтобы избежать ошибок, администраторам стоит ознакомиться с механизмами безопасности своего дистрибутива. 1 Например, дистрибутивы на основе RHEL используют SELinux, а Ubuntu и Debian — AppArmor. 1