Ви можете розглядати SELinux як брандмауер системного виклику . Політика для кожної програми визначає, що розумно робити для програми: Сервер імен може слухати на порту 53, працювати з деякими зонними файлами в певному каталозі, надсилати syslog, .. ., але немає сенсу намагатися працювати з файлами в / home, наприклад. Застосування такої політики SELinux означає, що слабкість сервера імен буде набагато складніше поширюватися на інші частини системи.
Я вважаю, що SELinux забезпечує реальне значення безпеки. Але хоча з часом, безумовно, стало простіше працювати, це, на жаль, все ще досить складна система. Хороша річ у тому, що ви можете легко відключити його для деяких служб, не вимикаючи його для всієї системи. Занадто багато (молодших?) Систематичних поворотів SELinux по всій платі, як тільки вони стикаються з найменшою проблемою з однією службою - замість того, щоб вибірково вимкнути її для послуги, що спричинило проблеми.