¿Hay algún ataque que sea posible simplemente deshabilitando SELinux? ¿Particularmente en un servidor que ejecuta servicios http y ssh?
SELinux trata en gran medida de limitar los procesos a recursos específicos y no permitirles acceder a otros recursos.
SELinux sabe qué es Apache, a qué archivos debería poder acceder, a qué puertos debería poder enlazarse, etc. Si alguien explota una vulnerabilidad en su sitio web y trata de leer o escribir en archivos que no lo son Como parte de webroot, SELinux realmente impedirá que esto suceda, incluso si has arruinado tus permisos y lo has dejado vulnerable (y también te enviará un buen error).
Esto es especialmente útil cuando se ejecutan sitios web u otras aplicaciones que pueden o no ser seguras, debido a clientes estúpidos o software antiguo que la gente teme actualizar (o plataformas a menudo explotadas como Java). Por lo general, no detiene un exploit, pero mitiga el daño posterior y se supone que mantiene el problema de seguridad contenido en el proceso explotado.
Otro ejemplo para escritorios: navegadores web. ¿Deberían poder leer ~ / .ssh? ¡No! Nunca hay una razón para que un navegador web entre allí, a menos que un atacante se haya apoderado de él. SELinux evitará que los navegadores web accedan a ~ / .ssh, aunque el navegador se esté ejecutando con sus privilegios de usuario (como probablemente debería ser).
EDITAR: Muchas personas desactivan SELinux porque las cosas no funcionan cuando lo activan. Esto se debe a que SELinux espera que las cosas se configuren "como le dijimos que lo configure en los documentos de Red Hat" (en el caso de SELinux en sistemas EL), lo que significa que ejecuta las cosas en puertos estándar con rutas de archivos estándar y no hacer cosas raras Si quieres hacer cosas raras, audit2allow es tu amigo y puedes crear políticas de SELinux para lo que necesites hacer.
Mientras su servidor esté parchado y actualizado, entonces no hay ninguna vulnerabilidad conocida contra la cual SELinux proteja. Puede que haya ventanas cuando este no sea el caso, pero son infrecuentes y cortos. Este es el eslogan de banner para SELinux: te puede proteger contra ataques de día cero.
IMHO, SELinux es contraproducente para la Seguridad (excepto posiblemente si usted es en el negocio de producir dispositivos que ejecutan Linux) consume mucho tiempo y esfuerzo sin dar resultados significativamente mejores que otros enfoques.
Sin embargo, no puedo decir si esto se aplica a tu contexto. Una configuración lista para usar con SELinux y la política del distribuidor habilitada es más segura que una sin él.
Lea otras preguntas en las etiquetas selinux