Security-Enhanced Linux (SELinux) — це модуль безпеки ядра Linux, який надає механізм для підтримки політик безпеки контролю доступу, включаючи обов'язковий контроль доступу (MAC). SELinux — це набір модифікацій ядра та інструментів простору користувача, доданих до різних дистрибутивів Linux.

Коли ввімкнено, SELinux має два режими: примусовий і дозвільний. Використовуйте команди getenforce або sestatus, щоб перевірити, у якому режимі працює SELinux. Команда getenforce повертає Enforcing, Permissive або Disabled.

Технічно кажучи, SELinux — це набір патчів Linux і інструментів користувача, які додайте захист MAC до операційної системи. Вони захищають ОС, щоб зламана або несправна програма була заблокована та не могла пошкодити дані чи інші програми.

У нашій оцінці ми знаходимо відкриття файлу побачить близько 87% (Linux v5. 3) падіння продуктивності, коли ядро ​​інтегровано з хуками SELinux (застосування політики вимкнено), ніж без, тоді як цей показник становив 27% (Linux v2. 4.2).

У традиційному середовищі Linux на базі DAC, якщо root-користувач стає скомпрометованим, цей користувач може писати на кожному необробленому блочному пристрої. Однак SELinux можна використовувати щоб позначити ці пристрої, щоб процес, якому призначено root-права, міг записувати лише ті пристрої, які вказані у відповідній політиці.

Що таке SELinux (Security-Enhanced Linux)? SELinux, або Linux з підвищеною безпекою, є частиною ядра Linux, яке діє як захисний засіб для ОС. У ядрі Linux SELinux — це механізм обов’язкового контролю доступу (MAC), який обмежує програми правилами та політиками, встановленими системним адміністратором.