現實世界中的 SELinux

通過我迄今為止的（短暫的）工作經驗，從實施的角度以及如何管理它，我對 SELinux 的工作原理有了相當多的了解。

我個人對 SELinux 有幾個疑慮，例如它在許多方面似乎過於復雜，以至於安全性似乎很難推理。所以，我想知道這個行業對 SELinux 有多熱情。

您是否在其中一台生產伺服器上使用 SELinux？如果是這樣，你有什麼樣的成功？沒有認真洩露細節，但您是否為與政府有關的組織工作（DoD/DoJ、國防承包商等）？有沒有覺得這很有用的非政府公司？

SELinux 在暴露整個 Linux 系統的複雜性方面做得很好。現代 Fedora 和 RHEL 系統獲得了很多

$$ SELinux $$注意，在大多數情況下，您不會知道 SELinux 正在“執行”（它不是一個守護程序，它主要是核心中的鉤子以及用於決策的安全策略）。 安全性的一個有趣（有時令人沮喪）方面是“它在做什麼？”這個問題。或“它工作嗎？”。好吧，如果它有效，您可能永遠都不知道。如果您正在執行一個 Web 伺服器並且它一直在執行，那麼您可能不知道有幾個漏洞甚至被嘗試針對您的系統。

至於政府，有公共資源（政府項目清單等）似乎表明 MAC（強制訪問控制，即 SELinux）正在被使用，並且可能相當多。政府系統，取決於部署和系統保存的資訊，在使用之前必須滿足某些標準。

至於民營企業，我不知道。如果他們需要 SELinux 帶來的完整性，那麼他們應該這樣做。

歸根結底，安全實際上是風險管理和選擇正確的工作水平。此外，安全性是一項持續的努力，而不是您僅僅“打開”的東西

引用自：https://serverfault.com/questions/47922