Simplemente vaya con el SELinux habilitado, no rompe nada, pero agrega muchas características de seguridad.
De forma predeterminada, todos los procesos de la red están en un espacio aislado, también puede hacer aplicaciones de escritorio en un espacio aislado.
Básicamente, trabajar con SELinux es fácil, por ejemplo:
- Cuando habilita SELinux, el sistema de archivos se debe volver a etiquetar durante el inicio, también es posible etiquetar las carpetas en línea, porque los archivos no están etiquetados cuando está desactivado
- Hay "booleanos", pueden aumentar mucho su seguridad, puede deshabilitar "ptrace", por ejemplo, o acceder a / proc y / sys para todos los usuarios no root
- Puede solucionar problemas, si los hay, con aplicaciones personalizadas usando "audit2allow" con audit.log
- puede usar el comando
sandbox
para los scripts de sandbox
- hay herramientas GUI en Fedora para administrar las políticas de SELinux
Hay dos cosas que son muy beneficiosas:
- los procesos de espacio aislado no podrán leer ni escribir archivos si alguien logra inyectar el código
- puede impedir que algunas explotaciones del kernel funcionen, especialmente si lo endurece mediante "booleanos". La vulnerabilidad del núcleo normalmente evitaría SELinux.
También hay otras características de seguridad en Linux como Capacidades, ACL, cgroups.