SELinux

SELinux (Security Enhanced Linux)

About SELinux on Habr (RuVDS): https://habr.com/ru/company/ruvds/blog/523872/

Набор правил и механизмов доступа, основанный на моделях мандатного (MAC) и ролевого доступа (RBAC) (для исправления недостатков дискреционной модели доступа (она же матричная, когда каждому объекту в отдельности прописываются атрибуты)).

У SELinux есть немало компонентов — сервер политик, база политик, фс, ...

SELinux работает в одном из трех режимов:

• Enforcing — Строгое соблюдение политик безопасности.

• Permissive — Допускается нарушение ограничений, в журнале делается соответствующая пометка.

• Disabled — Политики безопасности не действуют.

Посмотреть в каком режиме находится SELinux можно следующей командой: $ getenforce

С помощью SELinux мы можем:

• выдавать права на доступы к директориям

• ограничивать какие порты разрешено прослушивать каким-то сервисам (например, веб-сервер должен прослушивать только порт tcp/8080)

Впечатление об этой системе безопасности двоякое. С одной стороны безопасности в ИТ много не бывает, и SELinux содержит все необходимое для защиты ОС и приложений от несанкционированного доступа. С другой же стороны он выглядит чересчур громоздким и неоправданно сложным, что делает его применение непрактичным. Не раз и не два в руководствах пользователя по установке коммерческого ПО автор статьи видел рекомендации выполнить setenforce 0 перед началом установки.