C'è qualche attacco che sarebbe possibile solo disabilitando SELinux? In particolare su un server che esegue servizi http e ssh?
SELinux è in gran parte una questione di confinare i processi con risorse specifiche e non permettere loro di accedere ad altre risorse.
SELinux sa cos'è Apache, quali file dovrebbe essere in grado di accedere, quali porte dovrebbe essere in grado di legare, ecc. Se qualcuno sfrutta una vulnerabilità nel tuo sito web e trys per leggere o scrivere su file che non sono parte del webroot, SELinux in realtà impedirà che accada anche se hai incasinato le tue autorizzazioni e l'hai lasciato vulnerabile (e manderà anche un bel strong errore).
Questo è particolarmente utile quando si eseguono siti Web o altre applicazioni che potrebbero essere o meno sicure, a causa di clienti stupidi o vecchi software che le persone hanno paura di aggiornare (o spesso utilizzano piattaforme come Java). In genere non blocca un exploit, ma in seguito attenua il danno e si suppone che mantenga il problema di sicurezza contenuto nel processo sfruttato.
Un altro esempio per i desktop: browser Web. Dovrebbero essere in grado di leggere ~ / .ssh? No! Non c'è mai un motivo per cui un browser debba entrare, a meno che quel browser non sia stato preso in carico da un utente malintenzionato. SELinux impedirà ai browser web di accedere a ~ / .ssh, anche se il browser è in esecuzione con i tuoi privilegi utente (come probabilmente dovrebbe essere).
EDIT: Molte persone disattivano SELinux perché le cose non funzionano quando lo accendono. Questo perché SELinux si aspetta che le cose siano configurate "come ti abbiamo detto di configurarlo nei documenti di Red Hat" (nel caso di SELinux su sistemi EL), il che significa che esegui cose su porte standard con percorsi di file standard e non fare cose strane Se vuoi fare cose strane, audit2allow è tuo amico e puoi creare policy SELinux per tutto ciò che devi fare.
Finché il tuo server è aggiornato e aggiornato, allora non esiste alcuna vulnerabilità nota a cui SELinux protegge. Ci possono essere finestre quando questo non è il caso - ma queste sono rari e brevi. Questo è lo slogan del banner per SELinux: esso (potrebbe) proteggerti dagli attacchi zero-day.
IMHO, SELinux è controproducente per la sicurezza (tranne forse se sei nel settore della produzione di appliance che eseguono Linux) consuma molto tempo e sforzi senza dare risultati significativamente migliori rispetto ad altri approcci.
Tuttavia non posso dire se questo si applica al tuo contesto. Una configurazione pronta all'uso con SELinux e la politica del distributore abilitata è più sicura di una senza.
Leggi altre domande sui tag selinux