私は Fedora ラップトップ 2 台と CentoOS ホーム サーバー 1 台を持っていますが、家族が使用している smb 共有を除いて、それらを使用するのは私だけです。私のマシンに他の通常のユーザーがいない場合、SELinux に実際にメリットはありますか? オフにしたままにしないほうがよい理由はありますか?
答え1
Selinux はプロセス タイプを強制するためのものです。これはユーザーの分離とは異なります。
SELinux を理解するための本当に簡単なガイドについては、SELinux 塗り絵ブック (本当に塗り絵ブックです) をご覧ください。
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
ワークステーションの場合、SELinux はサーバーほど重要ではありません。ただし、不正なプロセスが他のプロセスにアクセスするのを防ぐことができます。
答え2
ユーザーとグループの権限が適切に設定されていれば、他の一般ユーザーについて心配する必要はありません。
SELinux は、不正行為、つまり誰かがプログラムや構成の欠陥を利用して、ユーザーの利益にならないことをコンピューターに実行させようとする行為からユーザーを保護することを目的としています。これは、コンピューターで実行されているネットワーク デーモン、ブラウザー、またはダウンロードして実行したソフトウェアを使用することで発生する可能性があります。悪意のある USB スティックなどのデバイスを接続することさえ危険です。
もちろん、コンピュータを保護するには SELinux が適切に設定されている必要があります。設定されていない場合は、無効にしてください。
答え3
はい。
SELinux は、アプリをサンドボックス化して、承認された特定の機能のみを実行できるように設計されています。たとえば、サイトがブラウザをだまして RASKit をダウンロードしてインストールさせた場合、SELinux は (プロファイルが正しく定義されていると仮定して) RASKit がインストールされるのを阻止します。
ブラウザなどのリモート入力を受け取るアプリケーションに加えて、SELinux は (適切に使用した場合) 信頼できるアプリケーションを装った不正なアプリケーションからも保護します。たとえば、ディストリビューションのリポジトリが侵害され、不正なバージョンの更新をアプリケーションにプッシュダウンするよう仕向けられた場合、SELinux は正規のバージョンでは実行できないアクションの実行を阻止します。
強制アクセス制御は、ユーザーに関するものではなく、アプリケーションに関するものであり、SELinux または AppArmor は、これらのアプリケーションが予想される権限レベルを超えないようにするように設計されています。これは、root として実行するアプリケーションにとって特に重要です。