简单调查一下 SELinux 的使用情况

@NerverLibis #40 说话说一半？好歹说一下自带什么漏洞了？

@Nitroethane 制药，目前的安全方案是由硬件安全设备，服务器上 selinux 设为 enforcing，不能设为 permissive。入网前进行安全检查，合格之后交换机 802.1X 放行，不合格接口 error-disable 不能接入生产网。

当然开启，这种像防火墙一样的宝贝怎么能关，你想奔裸么
其实了解一下就会发现自带规则并不用怎么改
不开启也有一定道理，人们貌似都不喜欢复杂的东西
不过有些看似不那么好友的东西学学确实有很大帮助：
Firewalld、SELinux、五笔、正则、VIM、Shell 脚本、Hammerspoon……

运营商环境，几十台生产，关闭 selinux

selinux 是个坑货。

关掉了，自从遇到有些莫名其妙的状况半天找不到原因，特别是访问权限的问题。开了不会安全很多，不开可以方便很多。

之前看了一下 selinux 本来打算用的，结果开启的时候发现没法一劳永逸，每次装一点新东西就会涉及到 selinux 的一堆问题，网上找答案也得找半天，所以干脆就不用了。
这玩意就跟防火墙一样，你服务器本身就只开几个简单的端口，根本没必要加一堆复杂的防火墙规则，反而规则复杂之后要添加新服务会出一堆问题。

关了 SELinux 的服务器不敢开放公网。。。

热衷于编译式安装软件的肯定都关闭 selinux 了

@Nitroethane 你可以先开 permissive 模式，有 selinux 相关告警，看到就解决了。然后运行一段时间没啥告警了就可以改成 enforcing 了。
Android 从 4.x 开始就有了，不过是 permissive，5.x 开始测用 enforcing

有的都开着，该配置的都配置，但是不喜欢用，改个 ssh 端口，又要 firewalld 加端口，又要 semanage port 加端口

全部服务器，包括我自己个人的，都是 enforcing。少数自己写的服务，没有 remote execute 风险的都是 permissive，有风险的都写了对应的 module。容器一类的用了 kata container 这种基于 kvm 虚拟化的容器方案，所以容器一类都 permissive 了。

推荐阅读：
https://wiki.gentoo.org/wiki/SELinux
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index

这东西整明白的人应该不多，几乎都关掉。国内很多应该还会关 firewalld 用深信服之类的物理防火墙

@openbsd 鸟哥的书有一章是专门讲 selinux 的，说实话比网上 95%的资料详细多了，非常适合初学者
http://linux.vbird.org/linux_basic/0440processcontrol.php#selinux

我看过 red hat 的一部分培训教材，虽然 red hat 是 selinux 的主要开发者之一，但个人觉得，从帮助用户理解的角度而言，鸟哥的文章强于 red hat 的教材。当然 red hat 的教材更偏向于上手直接用、以及帮助学习者考取红帽认证