Pagina 1 di 1
SELinux è potente ma la sua curva di apprendimento è ripida per un team senza specialisti dedicati. AppArmor su Debian/Ubuntu offre il 90% del beneficio con il 20% della complessità: profili leggibili, log chiari, modalità complain per introdurlo gradualmente. È la scelta pragmatica per la maggior parte delle PMI.
In questa categoria scrivo di AppArmor applicato: profili per PHP-FPM e Nginx che limitano l'accesso al filesystem solo alle directory necessarie, modalità complain per produrre i profili senza bloccare prematuramente, integrazione con auditd per alert su violazioni, applicazione a worker che eseguono codice generato.
Se vuoi un livello di isolamento kernel-level senza la complessità di SELinux, parliamone. Oppure scopri come lavoro.
SELinux è potente ma la curva di apprendimento è ripida per un team senza specialisti. AppArmor su Debian/Ubuntu offre il 90% del beneficio con il 20% della complessità. Ho configurato profili AppArmor per PHP-FPM, Nginx e MySQL su un VPS cliente: in due ore, l'esecuzione di processi PHP è confinata a livello kernel. Continua a leggere
