Tenho dois laptops Fedora e um servidor doméstico CentoOS, mas sou a única pessoa que usa algum deles, com exceção de um compartilhamento SMB usado por um membro da família. O SELinux tem algum benefício real se não houver outros usuários regulares em minhas máquinas? Existe um bom motivo para não apenas mantê-lo desligado?
Responder1
Selinux serve para impor tipos de processos. Isso não é o mesmo que isolamento do usuário.
Para um guia realmente simples para entender o SELinux, dê uma olhada no livro para colorir SELinux (sim, é realmente um livro para colorir).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
Para uma estação de trabalho, o SELinux não é tão importante quanto para um servidor. No entanto, isso impediria que um processo não autorizado acessasse outros processos.
Responder2
Se você tiver seus direitos de usuário e grupo configurados corretamente, não deverá se preocupar com outros usuários regulares.
O SELinux foi criado para protegê-lo de irregularidades, ou seja, alguém se aproveitando de falhas de programa ou configuração para fazer seu computador fazer algo que não é do seu interesse. Isso pode ser o uso de daemons de rede em execução no seu computador, navegador ou algum software que você baixou e executou. Até mesmo conectar alguns dispositivos, como pendrives maliciosos, pode ser perigoso.
É claro que o SELinux deve ser configurado corretamente para proteger o seu computador. Se não estiver, você também pode desligá-lo.
Responder3
Sim.
O SELinux foi projetado para fazer sandbox de aplicativos para que eles possam executar apenas funções específicas aprovadas. por exemplo, se um site enganasse seu navegador para que ele baixasse e instalasse um RASKit, o SELinux (assumindo que seu perfil esteja definido corretamente) impediria a instalação do RASKit.
Além de aplicativos que recebem entrada remota como navegadores, o SELinux (mais uma vez, quando usado corretamente) também protegerá contra aplicativos nocivos, disfarçados de confiáveis. Se os repositórios de suas distros forem comprometidos, por exemplo, e levados a enviar versões ruins de atualizações para seus aplicativos, o SELinux deve impedi-los de realizar ações que a versão legítima não estava autorizada a realizar.
O controle de acesso obrigatório não se trata tanto de usuários, mas de aplicativos, e o SELinux ou o AppArmor são projetados para evitar que esses aplicativos excedam seus níveis de privilégio esperados. Isso é especialmente importante para aplicativos executados como root.