Atualmente no Fedora, a funcionalidade Security Enhanced Linux (SELinux) que está lá por padrão pode ser desabilitada em run-time via /etc/selinux/config. Porém, em relação ao Fedora 34, isso deve mudar. Eles estão tentando remover esse suporte e se concentrando apenas na desativação via selinux=0 no momento da inicialização do kernel para fornecer maior segurança. Contudo, o Fedora 34 pode ficar mais lento com essa alteração. Pelo menos em tese, há essa especulação. No entanto, os responsáveis pela distribuição desmentem. Acompanhe a matéria até o final.
No momento, no Fedora, aqueles que desejam renunciar às proteções de segurança podem usar o selinux = 0 como a opção de linha de comando do kernel para desabilitar o suporte no momento da inicialização ou desabilitá-lo no arquivo /etc/selinux/config que por sua vez desabilita o suporte run-time (tempo de execução).
Fedora 34 deve ficar mais lento para aumentar ainda mais a segurança
Entretanto, a desabilitação do run-time por meio do arquivo de configuração etc está obsoleta no upstream e vem com um comprometimento de segurança em torno do módulo de segurança do Linux (LSM) do kernel.
Portanto, começando com o Fedora 34, o plano que está sendo analisado é desativar o suporte de desabilitação em run-time e migrar usuários para garantir que eles estejam usando selinux = 0 como a opção do kernel para desabilitar o SELinux. Isso no caso de não querer esse recurso por motivos de desempenho ou outros fatores. Para aqueles com SELinux habilitado, isso fornece mais possibilidades de fortalecimento de segurança.
Ao “desabilitar o SELinux” aqui, queremos dizer que o kernel não chama o subsistema SELinux. Alternar o SELinux entre o modo “permissivo” e “forçado” usando setenforce (que muitas vezes é chamado incorretamente de “desabilitar e habilitar SELinux”) não é afetado e permanecerá totalmente funcional. Veja a Documentação do Fedora para mais informações sobre o SELinux, diz o comunicado oficial da mudança.
Então, mais detalhes para os interessados nesta mudança proposta para o Fedora 34 através do Fedora Wiki. Eles alertam que apesar de aumentar os recursos de segurança, os usuários finais não devem ser impactados com as alterações. É esperar para ver o desempenho do Fedora 34 a ser lançado no começo do ano que vem.