Почему нам нужен SELinux?
Для поддержания целостности маршрута я думаю, что необходимо было бы связать различные экземпляры exim к различным интерфейсам (как Вы говорите),
прокси действительно не требуется, можно просто использовать маршрутизатор (на домен/от: соответствие) с набором условия для диктовки, который 'хост' реле через.
никогда не пробовал это. был бы интересно знать, работает ли это..
Можно просмотреть SELinux как брандмауэр системного вызова : политика для каждого приложения указывает то, что разумно, чтобы приложение сделало: сервер имен может послушать на порте 53, работа с некоторыми зональными файлами в конкретном каталоге, отослать системный журнал..., но не имеет никакого смысла для него пытаться работать с файлами в / домой, например. SELinux' осуществление такой политики означает, что слабости в сервере имен будет намного более трудно распространиться на другие части системы.
я нахожу, что SELinux обеспечивает реальное значение безопасности. Но в то время как, конечно, стало легче работать с за эти годы, это - к сожалению - все еще довольно сложная система. Хорошая вещь состоит в том, что можно легко выключить его для некоторых сервисов, не имея необходимость выключать его для целой системы. Слишком многие (юниор?) поворот системных администраторов SELinux через плату, как только они сталкиваются с малейшей проблемой с одним сервисом - вместо того, чтобы выборочно выключить его для сервиса, доставляющего неприятности.
Не все проблемы безопасности могут быть предсказаны заранее. Если взломщику удается использовать слабость в, например, сторонний httpd модуль затем, у них есть доступ к тем же файлам, которые выполняет пользователь httpd, как делает. SELinux далее ограничивает это путем ограничения их действиями и контекстами файла, к которым их домен SELinux имеет доступ.
Я думаю термин , Мандатное управление доступом подводит итог его вполне приятно. SELinux дает Вам больше защищенной системы через более безопасное ядро, в значительной степени из-за реализации MAC.
SELinux делает хорошее задание при представлении чистой сложности всей системы Linux.
интересным аспектом безопасности является вопрос, "что это делает?"
Хорошо, если это работает, Вы никогда не могли бы знать. Если Вы выполняете веб-сервер, и он просто не ложился спать, то Вы не могли бы знать, что несколько использования даже попробовали против Вашей системы.
Что касается частных компаний, я не знаю. Если им нужна целостность, которую SELinux приносит к таблице, то они должны.
Что касается правительства, существуют общедоступные источники (список правительственных проектов и т.п.), которые, кажется, указывают на то, что MAC используется и возможный вполне в большой степени. Правительственные системы, в зависимости от развертывания и что содержит информация система, должны соответствовать определенным критериям прежде чем быть используемым.
В безопасности конца действительно управление рисками и выбор правильного уровня усилия.
Также безопасность на идущем усилии, не чем-то, что Вы просто включаете.