SELinux を使おう．使ってくれ． - Qiita

この記事の目的 SELinux って邪魔者ですか？ 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか？ SELinux は理解さえすればとても簡単です． 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使いましょう． 対象 SELinux を初めて触る人向けです． 玄人の方は他へ．．． 本稿の範囲 本稿では SELinux を導入しておしまいです．あくまで「みんな，簡単だからね，使おうね！」と言いたいのです． 本当は SELinux の効果を示すために Exploit を仕込んだアプリケーションから root を取って不正にファイルに触るところまでやりたいのですが，これまた別の記事にします． 僕の願

[y-kawaz]

SELinux要因のあらゆるトラブルケースの対応運用コスト（工数・人員確保・教育）と、得られるメリット（SELinuxでしか防げないレアケースの安全性？）、のバランスが著しく悪いのが問題。そこを納得出来る説得を頼む。

[xmisao]

サーバは単機能化していく流れで、細かすぎる制御は合わなくなってきているのかも。隔離されているはずの環境が悪さをしないように、保険として包括的にガードしたりログを残すような使い方は良さそうですが。

[thimura]

「自身でポリシを定義すれば使えますが難易度が高くなるため今回は Debian はやめます．」はい

[John_Kawanishi]

アプリの稼働要件・サポート対象環境で「SELinuxは無効｣て明記されすぎてるしなぁ（焦

[tailriver]

便利だったパッケージが apt から削除されたことの意味を考えたほうがいいかも。ユーザーが少ない and/or メンテナを誰もやりたがらない …

[shag]

要は SELinux は費用対効果が悪いってことなんだと思うんだ。

[Fushihara]

Linuxのオーナーグループ他人の権限管理方法が廃止されてSELinuxに一本化するってんならともかく、ただの二重管理にしか見えない

[az1za]

SELinuxが邪魔だという事を再確認した。

[turanukimaru]

Linuxの色んな人の作った最小のアプリを組み合わせて大きなアプリを実現するという思想がアプリ単位のセキュリティというアーキテクチャと完全に矛盾するのが痛すぎる。思い通りに動いてこそのLinuxが動かない。

[yogasa]

rootとられても大丈夫、じゃなくてrootで動かしてるのにアクセスはじかれたりしてアプリが落ちる、なんだよな

[nilab]

「SELinux が有効になっているとパーミッションが取れたとしてもファイルの内容にアクセスできないようになります」「セキュリティホールを突かれてもシステムファイルを容易には読めない，容易には書き換えられない」

[senahate]

“/etc/selinux/config”

[haneuma0628]

SELinuxとなかよくなりたい

[meech]

Gentooの場合は(はい

[lowpowerschottky]

監査ログ見れば原因はすぐに分かります

[moccos_info]

“SELinux は理解さえすればとても簡単”ネタ系パワーワードのメモ

[HACHI-BAY]

CentOS 6ではEnforcingでL2TP/IPSecを動かしてる。

[smbd]

うーん…これじゃあなぁｗ

[tmatsuu]

Debian/UbuntuはAppArmorでいいよね。というよりも皆AppArmorが動いてることを意識せず有効のまま使ってる可能性。追記：debianは標準では入らないそうです

[kojiro-s]

確かに、いつもdisableしてた

[tune]

SELinuxがあってよかったという事例の公開が求められる

[JULY]

ブコメ見てたらずいぶん不人気だなぁ。RHEL / CentOS の targeted ポリシーだと、パッケージのデフォルトに合わせたディレクトリに配置すれば、ほとんど問題無いけどなぁ。

[bullet7]

なんとかさんごめんなさい。

[chopapapa]

Q.SELinuxって邪魔者ですか？　A。邪魔者です。/rootなのに動かせないもの多すぎで邪魔でしかない。root取られても大丈夫！の対策するよりroot取られない対策するほうが簡単だし効果も高い。

[wushi]

普及させたいのであれば、入れる機能の有意義さを語るよりも、それによって阻害されるアプリの問題をどう解決するかを示したほうが良い

[tengo1985]

debianならapparmor使うんじゃなかったかな。Docker周りを真剣に運用するならちゃんと有効にしろよ、と説明されるよね。

[iww]

SELinuxを有効にしている人ってまだいるのか。 へぇー

[mongrelP]

debianなんでこうなった？tomoyoとかに移行すると笑う

[mukaer]

iptables完璧に覚えよう（違

[raimon49]

Debian系だから今後も使わない。

[monochrome_K2]

AndroidはKitKatから採用されているけど単体でセキュリティを確保する必要のあるIoT系のデバイスには有効だと思う。ただ総合的に守っているサーバー系は適材適所で良いと思う

[list1569]

はい https://stopdisablingselinux.com/

[OkadaHiroshi]

コンテナでなくても、サーバー側は単一機能を提供する方向に進んでいるのでSELinuxと相性がわるいと思う。デスクトップでは Ubuntu or Debian で簡単に使えないのはお話にならない Fedora or CentOS はマイナーすぎる。

[masatomo-m]

SELinuxを使おうと言うならMLS使うべきなのでは？targetedモードは中途半端で事故が起こるだけで、何のためにSELinuxを使うのかを見失ってる気がする。それならcontainerとかchroot使って情報を閉じ込めた方がしっくりくる

[Shinwiki]

使うのはいいけど設計書くのが

[src256]

やっぱいらね

[electrolite]

SELinuxって正論を言うばかりで人望のない優等生だよな。

[twatw]

Permissiveで監査ログだけ残しておくのは一定有用

[akanex3]

すみません。。