![AppArmor 및 SELinux와 같은 LSM 도구는 IDS/IPS로 간주됩니까? [폐쇄]](https://linux55.com/image/176410/AppArmor%20%EB%B0%8F%20SELinux%EC%99%80%20%EA%B0%99%EC%9D%80%20LSM%20%EB%8F%84%EA%B5%AC%EB%8A%94%20IDS%2FIPS%EB%A1%9C%20%EA%B0%84%EC%A3%BC%EB%90%A9%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
나는 이것이 이상한 질문이라는 것을 알고 있습니다. IDS/IPS는 기본적으로 침입을 자동으로 식별하고 선택적으로 차단합니다.
SELinux와 AppArmor가 동일한 작업을 수행하려는 것처럼 보이지만 IDS/IPS라는 라벨이 붙은 적은 없습니다. 내가 뭐 놓친 거 없니? 이것은 순전히 학문적인 질문입니다.
그러한 도구가 호스트 기반 IDS/IPS로 간주됩니까?
답변1
예, LSM 도구는 커널 기반 HIDS/HIPS로 간주될 수 있습니다.
IDS(침입 감지)와 IPS(침입 방지)는 동일한 것이 아닙니다. 침입 탐지는 일반적으로 알려진 잘못된 패턴을 검색하고 경고한다는 점에서 기존 바이러스 스캐너와 비슷하지만 일반적으로 애플리케이션이 특정 작업을 수행하는 것을 막지는 않습니다.
AppArmor 및 SELinux는 올바른 동작을 적용하고 일부 알려지지 않은 공격을 방지하여 운영 체제와 모니터링되는 애플리케이션을 위협으로부터 사전에 보호합니다. 올바르게 구성해야 하지만 모두 호스트 기반 침입 방지의 한 형태로 간주될 수 있습니다.
AppArmor 보안 정책은 각 애플리케이션이 액세스할 수 있는 시스템 리소스와 권한을 완전히 정의합니다.
/etc/apparmor.d/AppArmor가 포함된 시스템을 실행하는 경우 기본 프로필 목록을 찾아보면 사용 중인 대부분의 앱이 실제로 적용되지 않는다는 것을 알 수 있습니다.
IDS/IPS는 기본적으로 침입을 자동으로 식별하고 선택적으로 차단합니다.
SELinux와 AppArmor는 모두 "침입 검색" 개념보다 "샌드박싱" 개념과 더 밀접하게 관련되어 있습니다. 팝업 알림이 수신되지 않습니다.
잠재적으로 위험한 일을 하는 잠재적인 악당
[_][_]거부 허용
대신, 이러한 시스템이 실제로 시행 모드에서 실행될 때 애플리케이션은 자동으로 많은 작업을 수행하는 것이 허용되지 않습니다. 무엇이 거부되었는지 정확히 확인하려면 로그를 확인해야 합니다. 일반적으로 이를 켜거나 시작하기 전에 "불만 모드"(AppArmor) 또는 "허용 모드"(SELinux)에서 실행해야 합니다. 이 모드에서는 구성한 권한 설정으로 실행할 수 있지만 거부된 액세스만 기록합니다. message , 액세스를 직접 거부하는 대신. 그렇지 않으면 시스템이 중단될 수 있습니다.