В голосовании не нашел "Иное мнение". Что значит безопасность? Это наверно когда безопасно? А как безопасно? Совсем или что-то не безопасно? ... Во первых RH коммерческий дистрибутив и они хороши в этом "точка". Поэтому из коробки у них SELinux и уже в enforced. Дистрибутив Debian это другое (https://www.debian.org/intro/why_debian#:~:text=Debian is made of free,It's also free of cost.) и он довольно не плохо поддерживается. Ничего не мешает в Debian установить пакет политики по умолчанию в stable дистрибутиве (selinux-default-policy) и выключить модуль unconfined (https://debian-handbook.info/browse/stable/sect.selinux.html) что приведет к настройки строгой политики SELinux в Debian:
The selinux-policy-default package contains a set of standard rules. By default, this policy only restricts access for a few widely exposed services. The user sessions are not restricted and it is thus unlikely that SELinux would block legitimate user operations. However, this does enhance the security of system services running on the machine. To setup a policy equivalent to the old “strict” rules, you just have to disable the unconfined module (modules management is detailed further in this section).
Refpolicy (https://github.com/SELinuxProject/refpolicy) является основой, наверное для всех дистрибутивов и он очень хорошо документирован. Во многих случаях SELinux отключать не обязательно, а достаточно перевести его в разрешающий режим и проводить отладку, что является стандартной практикой и в RH, а обширный инструментарий (sepolgen и policygentool и многие другие) помогут лучше разобраться с разработкой политик.
ИМХО модули безопасности SELinux должны писать разработчики ПО т.к. им лучше знать поведение своего детища, и если кто-то из вендоров в инструкции указывает что перед установкой его ПО необходимо отключить SELinux, то кажется что у вендора костыльное представление о безопасности его ПО на данный момент времени, т.к. технология существует уже более 10 лет.
В голосовании не нашел "Иное мнение". Что значит безопасность? Это наверно когда безопасно? А как безопасно? Совсем или что-то не безопасно? ... Во первых RH коммерческий дистрибутив и они хороши в этом "точка". Поэтому из коробки у них SELinux и уже в enforced. Дистрибутив Debian это другое (https://www.debian.org/intro/why_debian#:~:text=Debian is made of free,It's also free of cost.) и он довольно не плохо поддерживается. Ничего не мешает в Debian установить пакет политики по умолчанию в stable дистрибутиве (selinux-default-policy) и выключить модуль unconfined (https://debian-handbook.info/browse/stable/sect.selinux.html) что приведет к настройки строгой политики SELinux в Debian:
На хабре достаточно тем по SELinux: https://habr.com/ru/users/annmuor/publications/articles
Refpolicy (https://github.com/SELinuxProject/refpolicy) является основой, наверное для всех дистрибутивов и он очень хорошо документирован. Во многих случаях SELinux отключать не обязательно, а достаточно перевести его в разрешающий режим и проводить отладку, что является стандартной практикой и в RH, а обширный инструментарий (sepolgen и policygentool и многие другие) помогут лучше разобраться с разработкой политик.
ИМХО модули безопасности SELinux должны писать разработчики ПО т.к. им лучше знать поведение своего детища, и если кто-то из вендоров в инструкции указывает что перед установкой его ПО необходимо отключить SELinux, то кажется что у вендора костыльное представление о безопасности его ПО на данный момент времени, т.к. технология существует уже более 10 лет.