Использует ли Ubuntu SELinux по умолчанию, и если нет, как управляется контекст безопасности? Например, разрешение процессов запускаться от имени root без контекста безопасности может быть угрозой безопасности.
Страница справки о SELinux предполагает, что SELinux - это программа, которую необходимо установить вручную.
Так как же тогда Ubuntu обрабатывает контекст безопасности из коробки?
Ubuntu использует AppArmor , альтернативу SELinux.
Википедия дает некоторые советы о том, почему некоторые люди думают, что AppArmor лучше, чем SELinux:
Частично AppArmor предлагается как альтернатива SELinux, что критикам сложно установить и поддерживать администраторам. В отличие от SELinux, который основан на применении меток к файлам, AppArmor работает с путями к файлам. Сторонники AppArmor утверждают, что обычному пользователю он менее сложен и прост в освоении, чем SELinux. Они также утверждают, что AppArmor требует меньше модификаций для работы с существующими системами: например, SELinux требует файловую систему, которая поддерживает «метки безопасности» и, следовательно, не может обеспечить контроль доступа к файлам, смонтированным через NFS. AppArmor не зависит от файловой системы.
Ubuntu поставляет множество профилей AppArmor для основных приложений. Вы можете найти их в /etc/apparmor.d/. Если вам нужно отредактировать профили по умолчанию, вы можете переопределить настройки из /etc/apparmor.d/local/.
Ubuntu также поставляет некоторые так называемые «абстракции», которые помогают быстро создавать собственные профили AppArmor, не повторяя себя (известный принцип DRY ).
Важно отметить, что профиль AppArmor для Firefox по умолчанию отключен, поскольку он может быть слишком ограничительным для многих пользователей. Однако вы можете включить его, как описано в документации :
sudo aa-enforce /etc/apparmor.d/usr.bin.firefox
Если вы хотите использовать SELinux, вы можете отключить AppArmor и установить пакет selinux . Однако обратите внимание, что конфигурация по умолчанию для SELinux в Ubuntu не слишком ограничительна, поэтому вы должны настроить ее самостоятельно.
Как указывает ответ Андреа, Ubuntu использует AppArmor. Контекст «по умолчанию» SELinux, который использует Ubuntu, во многом зависит от того, как вы устанавливаете SELinux (я считаю selinux-default, что именно он вам нужен). Конечно, если вы не установите ни один, вы должны настроить его в соответствии со своими вкусами.