Эксперты по безопасности Linux-систем сообщают о росте числа реальных ситуаций, в которых механизм безопасности SELinux, предложенный Агентством национальной безопасности США, не позволяет хакерам обратить себе на пользу изъяны, имеющиеся в программном обеспечении. Это означает, что механизм, который проектировался как в известной мере эзотерическая мера, начинает себя оправдывать.

В АНБ выступили с инициативой SELinux в 2000 году, а уже в 2002 году Линус Торвальдс использовал его в ядре своей операционной системы, однако до недавнего времени эта технология в основном представляла лишь академический интерес. Многие администраторы Linux-систем впервые узнавали о SELinux из длинного руководства, которое предварялось списком совершенно новых терминов, касающихся безопасности. А когда компоненты SELinux устанавливались на реальную систему, многочисленные сообщения об ошибках, вызванные некорректностями в конфигурации, только приводили в замешательство.

Однако целый ряд недавних сообщений свидетельствует о начале совершенно нового этапа. Включенный механизм SELinux в состоянии помешать хакеру в полной мере использовать деструктивный потенциал того или иного изъяна системы. К примеру, один из изъянов программного обеспечения HP Linux Imaging and Printing Project может позволить хакеру выполнять любые команды со статусом root. Однако, согласно рекомендациям по поводу этой ошибки, «Red Hat Enterprise Linux 5 SELinux предусматривает правила действия для hpssd, которые... блокируют возможность использовать этот дефект для выполнения произвольного кода»..... 

Полную версию статьи Дона Марти читайте на сайте журнала Computerworld  здесь