Answers:
您可能会将SELinux视为系统调用防火墙:每个应用程序的策略都指定了适合该应用程序执行的操作:名称服务器可以侦听端口53,使用特定目录中的某些区域文件,发送syslog等。 。,但是尝试使用/ home中的文件是没有意义的。SELinux执行这样的策略意味着名称服务器中的弱点很难传播到系统的其他部分。
我发现SELinux提供了真正的安全性价值。但是,尽管多年来肯定可以更轻松地使用它,但遗憾的是,它仍然是一个相当复杂的系统。好处是您可以轻松地为某些服务将其关闭,而不必为整个系统将其关闭。一旦有一种服务出现最轻微的问题,太多(初级?)系统管理员就会全面转向SELinux,而不是有选择地关闭服务而导致麻烦。
man -k selinux是一个很好的起点。通常,可以将* _disable_trans sebools设置为在特定服务上禁用SELinux。
并非所有安全问题都可以预先预测。如果攻击者设法利用例如第三方httpd模块中的漏洞,则他们可以访问用户httpd正在运行的相同文件。SELinux通过将它们限制在其SELinux域可以访问的操作和文件上下文中进一步限制了它。
SELinux在揭示整个Linux系统的复杂性方面做得很好。
安全性的一个有趣方面是“它在做什么?”这个问题。
好吧,如果它起作用了,您可能永远不会知道。如果您正在运行Web服务器,而该服务器一直处于关闭状态,那么您可能不知道甚至对您的系统尝试了几项利用。
至于私人公司,我不知道。如果他们需要SELinux带来的完整性,那么他们应该。
至于政府,有一些公共资源(政府项目清单等)似乎表明正在使用MAC,而且这种可能性很大。政府系统,取决于部署和系统拥有的信息,在使用之前必须满足某些条件。
归根结底,安全性实际上是风险管理和选择正确级别的工作。
安全性也是一项持续不断的工作,而不仅仅是您需要开启的工作。