回答:
SELinuxをシステムコールファイアウォールと見なすことができます。各アプリケーションのポリシーは、アプリケーションが行うのに合理的なことを指定します。 。、たとえば/ home内のファイルを操作しようとすることは意味がありません。SELinuxがこのようなポリシーを実施するということは、ネームサーバーの弱点がシステムの他の部分に広がるのがはるかに困難になることを意味します。
SELinuxが本当のセキュリティ価値を提供することがわかりました。しかし、長年にわたって確実に作業しやすくなっていますが、残念ながらまだ複雑なシステムです。良いことは、システム全体でオフにする必要なく、一部のサービスで簡単にオフにできることです。あまりにも多くの(ジュニア?)システム管理者が、1つのサービスでわずかな問題に直面するとすぐに、SELinuxを全面的に有効にします。
man -k selinux始めるには良い場所です。通常、特定のサービスでSELinuxを無効にするように設定できる* _disable_trans seboolsがあります。
すべてのセキュリティ問題を事前に予測できるわけではありません。攻撃者がサードパーティのhttpdモジュールなどの脆弱性を悪用した場合、ユーザーhttpdが実行しているのと同じファイルにアクセスできます。SELinuxは、SELinuxドメインがアクセスできるアクションとファイルコンテキストに制限することにより、これをさらに制限します。
SELinuxは、Linuxシステム全体の複雑さを明らかにするのに優れています。
セキュリティの興味深い側面は、「何をしているのか」という質問です。
まあそれが動作している場合、あなたは決して知らないかもしれません。Webサーバーを実行していて、そのまま稼働している場合は、システムに対していくつかの悪用が試みられたことさえ知らないかもしれません。
民間企業に関しては、わかりません。SELinuxがテーブルにもたらす整合性が必要な場合は、そうする必要があります。
政府に関しては、そのMACが使用されていることを指し示すと思われる公的な情報源(政府プロジェクトなどのリスト)があり、かなりの可能性があります。政府システムは、展開とシステムが保持する情報に応じて、使用する前に特定の基準を満たす必要があります。
最終的にセキュリティは本当にリスク管理であり、適切なレベルの努力を選択することです。
また、セキュリティは継続的な取り組みであり、単にオンにするだけのものではありません。