SELinux - Security Enhanced Linux

SELinux är ett flexibelt ramverk för Mandatory Access Control (MAC) för Linux som är integrerat i linuxkärnan via Linux Security Modules (LSM) API. SELinux grundar sig på tio års forskning om säkra operativsystem inom NSA, National Security Agency.

SELinux - Security Enhanced Linux - utvecklas av NSA, säkerhetskonsulter och oberoende programmerare från hela världen. SELinux gör det närmast omöjligt för obehöriga användare eller program att på ett otillåtet sätt ta kontroll över processer, filer eller hårdvara, och därmed viktig information.

SELinux begränsar möjligheten för ett subjekt att utföra en operation på ett objekt. Ett subjekt är en process, och bland objekten kan nämnas filer, bibliotek, TCP/UDP-portar, segment av delat minne, men också andra processer än subjektet själv. Varje subjekt och varje objekt är försedda med ett antal säkerhetsattribut. Då ett subjekt försöker utföra en operation på ett objekt utvärderar operativsystemet utan undantag om denna operation är förenlig med det omfattande och detaljerade regelverk som utgör säkerhetspolicyn.

Säkerhetsklassificering

Inom den amerikanska administrationen har sedan länge säkerhetsklassificerad information krävt säkerhetscertifierade datorsystem. Säkerhetspolicyn implementeras i operativsystemet, och den färdiga konfigurationen certifieras enligt Common Criteria.

Datorsystem baserade på SELinux har certifierats enligt Common Criteria Evaluation and Validation Scheme (CCEVS) och erhållit nivå EAL4+ (Evaluation Assurance Level 4 Augmented) gentemot skyddsprofilerna LSPP, CAPP och RBACPP. Det är sannolikt den högsta möjliga nivån för ett datorsystem med ett operativsystem som är användbart för vitt skilda ändamål.

LSPP: Labeled Security Protection Profile
CAPP: Controlled Access Protection Profile
RBACPP: Role Based Access Control Protection Profile