Apparmor vs SElinux и их нужность на десктопе

Может и не тоже самое, но еще есть firejail.

Apparmor быстрее настраивается.

Использую SELinux со штатными профилями от мейнтейнеров дистра (fedora), подкручиваю se-права на файлы для ftp, самбы. Использую до первой проблемы, решение которой не находится за 5 минут, потом выставляю disable. Т.к. у федоры частые релизы, с новым релизом возобновляю использование selinux.

Кажется, осязаемых личных профитов не получил, поэтому и не рвусь в нем разбираться. Работает из коробки? Ок. Не работает - ну него.

Ещё в догонку такой вопрос. Так как у меня Debian 8, то используется systemd. Команда systemd --version выдаёт это

systemd 215
+PAM +AUDIT +SELINUX +IMA +SYSVINIT +LIBCRYPTSETUP +GCRYPT +ACL +XZ -SECCOMP -APPARMOR

Если нужен apparmor, то лучше сразу использовать Ubuntu. Просто после прикручивания последнего, практически ты получаешь Ubuntu. Тем более pulseaudio в Debian уже есть. И apparmor проще в обслуживание на Ubuntu, потому-что некоторые пакеты поставляются уже с профилями, плюс начальное количество профилей больше. Да и даже если ты будешь брать какой-то профиль из интернета и переделывать под себя, то для Ubuntu тебе придется проделать меньше работы. Да я думаю, что поправили конечно. Но в wheezy например была проблема с enforce net правил.

Да я пока только разбираюсь. Хорошо. С SElinux сильно много возьни будет? К тому же как я только что узнал - с Desktop Mode дэбовцы его особо не тестировали https://wiki.debian.org/SELinux/Issues

использую AppArmor на Debian Sid, брат жив

Настроить SElinux для какого-нибудь десктопного проприетарного софта скажем, будет достаточно сложно. С apparmor это тоже непросто, но более реально. Профиль же для серверного софта же в apparmor пишется достаточно быстро, можно уложиться в 5-10 минут, если основываться на другом уже существующем профиле, который наверняка найдется. Но в любом случае даже с нуля, ты скорей всего уложишься в час (тут зависит наверно скорей от количества написанных профилей). Плюс абстракции позволяют писать тебе профили с минимальными усилиями. Еще один плюс, что в крайнем случае ты можешь разрешить в профиле буквально все, но запретить доступ к рабочим директориям. Это также полезно к примеру если софт вызывает fusermount, потому-что к таким действиям составная часть профиля может быть сложнее самого профиля.
Для софта на java профили тоже вполне успешно пишутся. Особенно после твоего первого знакомства с java абстракцией.

SELinux лучше всего, но реально работает только на RH. AppArmor работает в Debian не хуже, чем в Ubuntu. Наличие поддержки AppArmor в systemd особого значения не имеет.

Ну если интересно научится материться - selinux.
apparmor - работает и в Debian. Пакеты только установи apparmor-profiles и apparmor-profiles-extra.
Зачем он нужен на десктопе - понятия не имею! Лично мне он не нужен.

Если на твоём десктопе не будет крутиться ничего, торчащего во вне, типа ftp/http сервера, то даром оно тебе не надо.

Ребят, я тут вот ещё что обнаружил. Для нормальной работы SElinux в Debian, нужен пакет selinux-policy-default, который из-за багов выпилили из Jessie. И даже тестинга.

Unfortunately the maintainers of the refpolicy source package did not handle release critical bugs on their package and the package got removed from jessie. This means that the selinux-policy-* packages are currently not installable in jessie and need to be fetched from another place. Hopefully they will come back in one of the point releases or in jessie-backports. In the meantime, you can grab them from unstable.
This sad situation at least proves that SELinux is not very popular in the set of users/developers who are running the development versions of Debian. Thus, if you opt to use SELinux, you should expect the default policy to not work perfectly and you will have to invest quite some time to make it suitable to your specific needs.

То есть, если я правильно понял, в Jessie он не совсем работоспособен, и лучше юзать Apparmor?

С SElinux сильно много возьни будет?

Нет. Там надо всего-лишь с 4-5 командами разобраться. Дебиана у меня нигде нет сейчас, использую selinux c centos и gentoo. В centos всё «изкоробочно» работает нормально, на gentoo приходится подпиливать.
Если selinux начинает сильно мешать что-то делать, а времени разобраться нет, или в гугле забанили, то можно скрутить режим с enforcing на permissive вместо отключения. А потом посмотреть в audit.log что он хочет. После чтения пары-тройки толковых статей по настройке selinux обычно проблем с ним уже никаких не появляется.

Отсутствие политик по умолчанию не означает что неработоспособен. Это значит, что у тебя будет много работы по настройке и без опыта и понимания ты это наверняка не осилишь, потому что там реально много работы. Так что используй Apparmor, но и шапку поставь где-нибудь в виртуалке, поковыряться с selinux, пригодиться и лишним не будет.

Спасибо. Так и поступлю.

Apparmor держу на десктопах с профилями на всякие скайпы-браузеры-впс офисы...

В любом случае, стоит ограничивать приложения на доступ к системным файлам и хомяку, избыточный доступ к добру не приводит...