польза SElinux

Skype запираю в песочницу.

Если не мешает, то лучше не отключай. В случае 0-day уязвимости может спасти.

Для skype, dropbox, и т.п. самое то!

SElinux
не мешает

Skype запираю в песочницу.

А можно чуть подробней? В моем представлении, selinux - общесистемный механизм. И если он работает, другое ПО (не только скайп) без специальных настроек будет иметь ограничения доступа по дефолту. Или ты для конкретно скайпа делал правила, можно пример?

будет иметь ограничения доступа по дефолту

Только если мэйнтейнеры дистрибутива позаботились написать политики. Если собрать (поставить) любой софт не из репов, то SELinux ничего ограничивать не будет.

Или ты для конкретно скайпа делал правила, можно пример?

Ну не совсем. У SELinux есть песочница. Запускается отдельный X-сервер, выделяется отдельный /home и /tmp и т.д. Подробнее можно почитать тут: http://masterpro.ws/forum/28-bezopasnost/4594-skype-v-kletke-selinux-sandbox (про libQtWebKit.so уже не актуально и логи тоже переехали journalctl -a -b | grep avc | audit2allow -M skype)

В ряде случаев подсистема безопасности позволит как минимум запротоколировать несанкционированный доступ, а в идеале — предотвратить его. В любом случае, нарушителю придется действовать в рамках, очерченных для конкретного процесса.

Сколько там вирусов для Linux? - Чет примерно 10-15.

Присоединюсь к вопросу. Слишком геморно его на десктопе поднимать? Что лучше юзать его, или AppArmor?

Сколько там вирусов для Linux?

Спроси сколько руткитов и троянов.

Слишком геморно его на десктопе поднимать?

Я бы сказал что сложно, а уж въехать как это работает смогли единицы. Лучше взять дистр в котором оно из коробке.

Что лучше юзать его, или AppArmor?

SELinux фичастее, но apparmor на порядок проще. Я за apparmor.

У меня Debian 8.1, как сказано в чейнджлоге

Обеспечена возможность использования системы принудительного контроля доступа SELinux (в режиме enforcing). По умолчанию SELinux выключен;

SELinux способен компенсировать ошибки в системе безопасности таких программных продуктов, как веб-сервер Hiawatha, система управления контентом Mambo и агент передачи почты Sendmail.

Hiawatha A secure webserver for Unix written with security in mind.

Я не нашёл ни одного CVE :)

У меня Debian 8.1, как сказано в чейнджлоге

Я рекомендую сначала попробовать в виртуалочке чтобы понять степень готовности.

сколько?

Ну, шелл-ботов овердохрена. Руткитов... можно посмотреть на странице rootkithuner. На счёт троянов не знаю, я под троянами имел в виду шелл-ботов. Я, кажись, перепутал терминологию.

на странице rootkithuner.

список отнюдь не впечатляющий

шелл-бот

что это?

Удивлюсь если у кого-нибудь вообще эта хрень работает.

Держал виртуалку с 22ой федорой, так при каждом dnf --update на фазе распаковки пакетов на каждом втором пакете с криком от этого самого selinux'а графическую сессию выбивает обратно в gdm. Причем фактически это не креш - пользователь остается залогинен, DE с консолью и dtf запущено. Иногда можно вернуться попереключавшись по виртуальным терминалам, иногда нельзя :\ \

список отнюдь не впечатляющий

Слава богу. Хотя, на самом деле достаточно одно рабочего чтобы было ссыкотно.

что это?

Скрипт который выполняет удалённые команды. Те что я видел заливали через дыры в форумах.

Что-то не верится, с беты на 22 и ни разу такого не наблюдал.

Может быть проблемы с совместимостью с виртуалькой. Тем более, что gdm там на вейланде, всякое может быть.

Сколько там вирусов для Linux? - Чет примерно 10-15.

А для них уже написали политики SELinux?

?Не существует¿

Он подарил мне несколько суток ёбли с андройдом в попытках подмонтировать раздел