SELinux
O que é SELinux?
SELinuxSecurity-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement.
SELinux (Security-Enhanced Linux) e um framework de controlo de acesso obrigatorio (MAC) assente na arquitetura Flask, originalmente desenvolvido pela NSA e integrado ao kernel Linux 2.6 em 2003. Atribui a cada processo, ficheiro, socket e objeto IPC um contexto de seguranca (user:role:type:level) e aplica, via hooks LSM, uma politica compilada centralmente acima das permissoes DAC. O modelo dominante combina type enforcement com controlo baseado em papeis e, opcionalmente, MLS/MCS. SELinux e ativado em modo enforcing por omissao em RHEL, CentOS Stream, Fedora e Android, sendo usado para confinar contentores, servidores web e daemons privilegiados; a principal critica e a complexidade das politicas.
● Exemplos
- 01
RHEL aplica por omissao a politica targeted em modo enforcing.
- 02
Android usa SELinux para confinar system_server, Zygote e dominios por aplicacao.
● Perguntas frequentes
O que é SELinux?
Security-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement. Pertence à categoria Criptografia da cibersegurança.
O que significa SELinux?
Security-Enhanced Linux, framework de controlo de acesso obrigatorio desenvolvido pela NSA, implementado via hooks LSM e politica de type enforcement.
Como funciona SELinux?
SELinux (Security-Enhanced Linux) e um framework de controlo de acesso obrigatorio (MAC) assente na arquitetura Flask, originalmente desenvolvido pela NSA e integrado ao kernel Linux 2.6 em 2003. Atribui a cada processo, ficheiro, socket e objeto IPC um contexto de seguranca (user:role:type:level) e aplica, via hooks LSM, uma politica compilada centralmente acima das permissoes DAC. O modelo dominante combina type enforcement com controlo baseado em papeis e, opcionalmente, MLS/MCS. SELinux e ativado em modo enforcing por omissao em RHEL, CentOS Stream, Fedora e Android, sendo usado para confinar contentores, servidores web e daemons privilegiados; a principal critica e a complexidade das politicas.
Como se defender contra SELinux?
As defesas contra SELinux costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SELinux?
Nomes alternativos comuns: Security-Enhanced Linux, NSA SELinux.
● Termos relacionados
- cryptography№ 053
AppArmor
Sistema de controlo de acesso obrigatorio para Linux baseado em caminhos, usado por Ubuntu e SUSE como alternativa mais simples ao SELinux para confinar programas.
- cryptography№ 979
seccomp
Funcionalidade do kernel Linux que restringe as chamadas de sistema permitidas a um processo; o moderno seccomp-BPF/eBPF permite filtros finos por syscall.
- identity-access№ 652
Controlo de Acesso Obrigatório (MAC)
Modelo de controlo de acesso em que uma política central — e não o proprietário do recurso — impõe decisões a partir de classificações e habilitações atribuídas a sujeitos e objetos.
- cloud-security№ 213
Segurança de contentores
Prática de proteger imagens de contentor, registos, orquestradores e o runtime onde os contentores são executados.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.
● Veja também
- № 615Capabilities do Linux
- № 120BPF LSM