Tengo dos computadoras portátiles Fedora y un servidor doméstico CentoOS, pero soy la única persona que usa cualquiera de ellas, con la excepción de un recurso compartido smb que usa un miembro de la familia. ¿SELinux tiene algún beneficio real si no hay otros usuarios habituales en mis máquinas? ¿Existe una buena razón para no mantenerlo apagado?
Respuesta1
Selinux sirve para hacer cumplir los tipos de procesos. Esto no es lo mismo que el aislamiento de usuarios.
Para obtener una guía realmente sencilla para comprender SELinux, eche un vistazo al libro para colorear de SELinux (sí, realmente es un libro para colorear).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
Para una estación de trabajo, SELinux no es tan importante como en un servidor. Sin embargo, evitaría que un proceso fraudulento acceda a otros procesos.
Respuesta2
Si tiene sus derechos de usuario y grupo configurados correctamente, no debería preocuparse por otros usuarios habituales.
SELinux está destinado a protegerlo de irregularidades, es decir, que alguien se aproveche de fallas de programa o configuración para hacer que su computadora haga algo que no es de su interés. Esto podría ser el uso de demonios de red que se ejecutan en su computadora, su navegador o algún software que descargó y ejecutó. Incluso conectar algunos dispositivos, como memorias USB maliciosas, podría resultar peligroso.
Por supuesto, SELinux debe configurarse correctamente para proteger su computadora. Si no es así, también puedes apagarlo.
Respuesta3
Sí.
SELinux está diseñado para aplicaciones de espacio aislado para que solo puedan realizar funciones aprobadas específicas. por ejemplo, si un sitio engaña a su navegador para que descargue e instale un RASKit, SELinux (suponiendo que su perfil esté definido correctamente) evitará que se instale el RASKit.
Además de las aplicaciones que reciben entradas remotas como los navegadores, SELinux (una vez más, cuando se usa correctamente) también protegerá contra aplicaciones maliciosas, haciéndose pasar por aplicaciones confiables. Si, por ejemplo, los repositorios de sus distribuciones están comprometidos y son engañados para que envíen versiones incorrectas de actualizaciones a sus aplicaciones, SELinux debería evitar que realicen acciones que la versión legítima no podía realizar.
El control de acceso obligatorio no se trata tanto de los usuarios sino de las aplicaciones, y SELinux o AppArmor están diseñados para evitar que estas aplicaciones excedan sus niveles de privilegios esperados. Esto es especialmente importante para las aplicaciones que ejecuta como root.