Su slashdot è apparso un’articolo che presenta un’analisi dell’IBM sul funzionamento di SELinux (l’hardening di Linux proposta dal NSA) in confronto ad altri metodi:
in pratica viene evidenziato come SELinux integri in Linux 2 dei più efficaci metodi di difesa contro gli gli exploit : il MAC e il RBAC .
Il MAC (Mandatory Access Control) impedisce l’accesso dei processi alle risorse attravero un database centralizzato di permessi, non modificabile dagli utent,i dove vengono definite le regole di autorizzazione per i singoli elementi del sistema.
Il MAC viene affiancato dal potentissimo RBAC (Role based access control), che si occupa di definire dei ruoli per gli utenti e gestisce i permessi per gli stessi. A prima vista parrebbe un duplicato dei Gruppi, ma in realtà ha una potenzialità maggiore: un’utente cha appartiene ad un gruppo ha tutti i permessi del gruppo, ma non quelli di altri gruppi collegati, con il RBAC invece i ruoli sono gestibili tramite gerarchie e relazioni e possono raggiugere un livello di granularità elevatissimo.