Security Enhanced Linux (SELinux) - это проект Агентства правительственной безопасности США (U.S. NSA). Репутация такого ведомс­тва говорит о серьезности проекта - там к безопасности относятся очень серьезно. Да и сам проект получился очень удачным - SELinux входит в со­став многих современных дистрибутивов и выясняется по умолчанию (правда, также по умолчанию не активизируется).

SELinux организует в ядре своеобразную МАС-модель (используя комби­нацию моделей DTE и RBAC). Система SELinux предлагает детализован­ный контроль привилегий, предоставляемых пользователю и процессу.

SELinux - не просто система безопасности, это переход с традиционной DAC-системы («все или ничего» - у вас либо полный контроль над системой,, либо вообще нет контроля), в которой решения о предоставлении доступа базировались на ID пользователя и правах файлов, в другое изме­рение безопасности.

Чтобы показать, насколько безопасна данная система, в Интернете всем же­лающим предоставлялся root-доступ к машинам NSA. Цель эксперимента заключалась в следующем: сможет ли кто-то получить контроль над систе­мой, на которой установлена SELinux, при условии, что у него будут права root. Пока никто данного не смог сделать.

Начально SELinux поставлялась как патч для ядра (2.2 или 2.4), сей­час она полностью поддерживает концепцию LSM и поставляется в виде LSM-модуля.

Сейчас поддержка SELinux есть в дистрибутивах Fedora Core, Debian и Gentoo. Примечательно, что Fedora Core стал первым дистрибутивом, где SELinux устанавливалась по умолчанию, но не активизировалась, посколь­ку настройка SELinux для начинающего пользователя - очень сложная (если не сказать - непосильная) задача.

Наибольший недостаток SELinux - это ее сложность настройки. Система действительно сложна в настройке, потому что многие администраторы с ней не знакомы, они не могут ее полностью правильно настроить, что при­водит к «дырам» в безопасности. Для полной настройки системы необходи­мо потратить несколько недель.

Для каждого пользователя и для каждого приложения в SELinux должны быть заданы правила, что отнимает много времени, особенно на много­пользовательской рабочей станции. Поэтому часто SELinux применяется на серверах, которые выполняют всего одну задачу, к примеру DNS-сервер, почтовый сервер или Web-сервер.