У меня есть два ноутбука Fedora и домашний сервер CentoOS, но я единственный, кто пользуется ими, за исключением общего ресурса smb, который использует член семьи. Имеет ли SELinux какую-либо реальную пользу, если на моих машинах нет других постоянных пользователей? Есть ли веская причина просто не держать его выключенным?
решение1
Selinux предназначен для принудительного применения типов процессов. Это не то же самое, что изоляция пользователя.
Для действительно простого руководства по пониманию SELinux взгляните на раскраску SELinux (да, это действительно раскраска).
https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf
Для рабочей станции SELinux не так важен, как на сервере. Однако он не позволит вредоносному процессу получить доступ к другим процессам.
решение2
Если права пользователя и группы настроены правильно, вам не придется беспокоиться о других обычных пользователях.
SELinux призван защитить вас от нарушений, то есть от того, что кто-то использует ошибки программы или конфигурации, чтобы заставить ваш компьютер делать что-то, что не в ваших интересах. Это может быть использование сетевых демонов, запущенных на вашем компьютере, вашего браузера или некоторого программного обеспечения, которое вы загрузили и запустили. Даже подключение некоторых устройств, таких как вредоносные USB-накопители, может быть опасным.
Конечно, SELinux должен быть правильно настроен для защиты вашего компьютера. Если это не так, вы можете его отключить.
решение3
Да.
SELinux предназначен для изоляции приложений, чтобы они могли выполнять только определенные разрешенные функции. Например, если сайт обманом заставил ваш браузер загрузить и установить RASKit, SELinux (при условии, что ваш профиль определен правильно) предотвратит установку RASKit.
В дополнение к приложениям, которые получают удаленный ввод, таким как браузеры, SELinux (опять же, при правильном использовании) также будет защищать от вредоносных приложений, маскирующихся под доверенные. Если, например, репозитории ваших дистрибутивов скомпрометированы и обманным путем заставляют вас загружать плохие версии обновлений для ваших приложений, SELinux должен помешать им выполнять действия, которые не разрешалось выполнять легитимной версии.
Обязательный контроль доступа касается не столько пользователей, сколько приложений, и SELinux или AppArmor разработаны для того, чтобы не допустить превышения этими приложениями ожидаемого уровня привилегий. Это особенно важно для приложений, которые вы запускаете как root.