SELinux leistet gute Arbeit, um die schiere Komplexität eines gesamten Linux-Systems aufzudecken. Moderne Fedora- und RHEL-Systeme erhalten viel [SELinux] Aufmerksamkeit und zum größten Teil werden Sie nicht wissen, dass SELinux "läuft" (es ist kein Deamon, es sind meistens Hooks im Kernel, gekoppelt mit einer Sicherheitsrichtlinie für die Entscheidungsfindung) .
Ein interessanter (manchmal frustrierender) Aspekt der Sicherheit ist die Frage "Was macht es?" oder "funktioniert es?". Nun, wenn es funktioniert, werden Sie es vielleicht nie wissen. Wenn Sie einen Webserver betreiben und dieser gerade am Laufen war, dann wissen Sie vielleicht nicht einmal, dass ein paar Exploits gegen Ihr System ausprobiert wurden.
Was die Regierung betrifft, gibt es öffentliche Quellen (Auflistung von Regierungsprojekten und dergleichen), die darauf hinzudeuten scheinen, dass MAC (Mandatory Access Control, dh SELinux) verwendet wird und möglicherweise ziemlich stark ist. Regierungssysteme müssen je nach Bereitstellung und Informationen, die ein System enthält, bestimmte Kriterien erfüllen, bevor sie verwendet werden.
Bei Privatunternehmen weiß ich es nicht. Wenn sie die Integrität brauchen, die SELinux mit sich bringt, dann sollten sie das tun.
Letztendlich ist Sicherheit wirklich Risikomanagement und die Wahl des richtigen Aufwands. Außerdem ist Sicherheit eine ständige Anstrengung, nicht etwas, das Sie einfach "einschalten"
Viele mir bekannte Shops würden gerne SELinux einsetzen, können es aber nicht. Viele Anbieter, die ihre Produkte beispielsweise für RHEL bauen, verlangen explizit, dass SELinux abgeschaltet wird. Solange Gelenke wie Oracle SELinux nicht richtig unterstützen, sehe ich keinen großen Durchbruch, außer auf Webservern (auf denen ich immer würde lassen Sie es an !) SELinux ist nicht mehr so kompliziert. Wenn Sie sich RHEL4 und RHEL5 ansehen und vergleichen, wie kompliziert SELinux auf beiden ist, ist der Unterschied riesig. Vergleicht man Fedora 11 mit RHEL5, ist der Unterschied wieder riesig. Es werden große Fortschritte gemacht, aber solange Leute wie Oracle denken, dass SELinux es nicht wert ist, unterstützt zu werden, werden Sie viele Leute sehen, die es abschalten.