SELinux
¿Qué es SELinux?
SELinuxSecurity-Enhanced Linux, marco de control de acceso obligatorio desarrollado por la NSA e implementado mediante los hooks LSM y una politica de type enforcement.
SELinux (Security-Enhanced Linux) es un marco de control de acceso obligatorio (MAC) basado en la arquitectura Flask, desarrollado originalmente por la NSA y fusionado al kernel Linux 2.6 en 2003. Etiqueta cada proceso, fichero, socket o objeto IPC con un contexto de seguridad (user:role:type:level) y aplica una politica compilada centralmente a traves de los hooks LSM, sobre los permisos DAC tradicionales. El modelo de politica dominante combina type enforcement con control basado en roles y, opcionalmente, MLS/MCS. SELinux viene activo en modo enforcing en RHEL, CentOS Stream, Fedora y Android; se utiliza para confinar contenedores, servidores web y demonios privilegiados, aunque su complejidad de politicas es su principal critica.
● Ejemplos
- 01
RHEL trae la politica targeted en modo enforcing por defecto.
- 02
Android usa SELinux para confinar system_server, Zygote y dominios por app.
● Preguntas frecuentes
¿Qué es SELinux?
Security-Enhanced Linux, marco de control de acceso obligatorio desarrollado por la NSA e implementado mediante los hooks LSM y una politica de type enforcement. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa SELinux?
Security-Enhanced Linux, marco de control de acceso obligatorio desarrollado por la NSA e implementado mediante los hooks LSM y una politica de type enforcement.
¿Cómo funciona SELinux?
SELinux (Security-Enhanced Linux) es un marco de control de acceso obligatorio (MAC) basado en la arquitectura Flask, desarrollado originalmente por la NSA y fusionado al kernel Linux 2.6 en 2003. Etiqueta cada proceso, fichero, socket o objeto IPC con un contexto de seguridad (user:role:type:level) y aplica una politica compilada centralmente a traves de los hooks LSM, sobre los permisos DAC tradicionales. El modelo de politica dominante combina type enforcement con control basado en roles y, opcionalmente, MLS/MCS. SELinux viene activo en modo enforcing en RHEL, CentOS Stream, Fedora y Android; se utiliza para confinar contenedores, servidores web y demonios privilegiados, aunque su complejidad de politicas es su principal critica.
¿Cómo defenderse de SELinux?
Las defensas contra SELinux combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SELinux?
Nombres alternativos comunes: Security-Enhanced Linux, NSA SELinux.
● Términos relacionados
- cryptography№ 053
AppArmor
Sistema de control de acceso obligatorio basado en rutas para Linux, usado por Ubuntu y SUSE como alternativa mas simple a SELinux para confinar programas individuales.
- cryptography№ 979
seccomp
Funcion del kernel Linux que limita las llamadas al sistema que un proceso puede invocar; el modo moderno seccomp-BPF/eBPF permite filtros finos por syscall.
- identity-access№ 652
Control de acceso obligatorio (MAC)
Modelo de control de acceso en el que una política central —no el propietario del recurso— impone decisiones a partir de clasificaciones y habilitaciones asignadas a sujetos y objetos.
- cloud-security№ 213
Seguridad de contenedores
Práctica de proteger imágenes de contenedor, registros, orquestadores y el runtime en el que se ejecutan los contenedores.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
● Véase también
- № 615Capacidades de Linux
- № 120BPF LSM