Ага, только вот помимо SELinux есть ещё AppArmor с более простым синтаксисом политик. Меньше мороки с настройкой, но тот же песок для процессов.

Полностью согласен, особенно про ресурсы SELinux забывают упомянуть новички. Нагружает систему, да и болтливые логи при неверной конфигурации могут заполнить диск

А вот наоборот, для десктопа его можно гибко настроить под свои нужды и забыть о большинстве проблем. Да, сначала придётся попотеть с контекстами для /home и временными исключениями для винды-игр через wine, но потом это работает как швейцарские часы. Главное не лениться и не сливать всё в permissive при первом же алерте. У меня на федоре полгода без косяков, а винда в виртуалке даже не подозревает, что её песочнит. Плюс если что-то реально кривое лезет в систему — селинукс его прибьёт на раз, а не будет молча пропускать как аппармор. Но да, для этого нужно хотя бы поверхностно понимать, как он думает. Без этого — только мучения.

SELinux порой сильно ограничивает действия, но это плата за безопасность. На сервере с высокими требованиями к защите, его преимущества оправдывают сложности настройки.

Согласен, в случае взлома проще поднять свежий стенд, чем копаться в политиках и логах. Профит для прогиба есть только на дев стендах или для параноиков.

Конечно, если нужен надежный щит на сервере, SELinux оправдывает себя. Но как ты говоришь, без умелых рук это скорее обуза, чем защита, которая может съесть все ресурсы.

сапер точно подметил, но если копать глубже, то именно такие кирпичи и делают ядро почти неприступным когда злоумышленник просачивается выше пользователя. главное потом не забыть выключить режимах пермиссии, а то действительно начинает как будто кто то за спиной стоит