Polubić SELinuksa !
Wielu nie lubi SELinuksa!
Każde skuteczne narzędzie bezpieczeństwa wprowadza utrudnienia, zwłaszcza gdy stawia mu się wysokie wymagania. SELinux nie jest tu wyjątkiem. Jak każde rozwiązanie realnie zwiększające bezpieczeństwo systemu SELinux wymaga wprowadzenia dodatkowych działań - w przypadku SELinuksa działania te realizuje jądro systemu w oparciu o zewnętrzne polityki bezpieczeństwa.
Przede wszystkim wprowadza obligatoryjną kontrolę dostępu dla usług systemowych. Usługa systemowa jest uruchamiana w odrębnej domenie (podsystemie). Polityki bezpieczeństwa dla każdej domeny jest dostarczana wraz z oprogramowaniem realizującym funkcje określonego serwisu - np. http, ssh, virt, snmp, postfix, mysql itd. i ogranicza wykorzystywanie określonych zasobów jedynie wewnątrz domeny - np. usługa serwera HTTP (typ httpd_t) może domyślnie korzystać jedynie z typów obiektów jej przyporządkowanych - np. httpd_sys_content_t, httpd_sys_script_exec_t, httpd_config_t itd.
Polityki bezpieczeństwa mogą byc w pewnym zakresie modyfikowane za pomocą tak zwanych przełączników (booleans). Możliwe jest także przygotowywanie i kompilowanie dodatkowych modułów *.pp (policy package).
SELinux umożliwia korzystanie z następujących polityk:
Polityka celowa - targeted policy, która nadzoruje wykorzystywanie zasabów systemu (katalogi, pliki, porty sieciowe) przez określone domeny,
Polityka MCS - multicategory security policy, która pozwala na podział obiektów na kategorie i przyporządkowanie ich odpowiednim domenom lub użytkownikom i tym samym zarządzaniem dostępu do ich zawartości,
Polityka MLS - multilevel security policy umożliwiającej wprowadzenie hierarchi dostępu wzorowanej na mechanizmach znanych z zarządzania informacjami niejwanymi.