ランダムアクセス制御（https://en.wikipedia.org/wiki/Discretionary_access_control）ほとんどのLinuxディストリビューションには、基本的にSELinuxのセキュリティ上の利点がない理由が疑問に思います。

いくつかの理由があります。

• DACには標準がありますが、SELinuxはそのうちの1つではありません。
• リンゴとオレンジ。 SELinuxは必須アクセス制御（MAC）です。 DACと混同するのはカテゴリエラーです。
• SELinuxはMACの一例に過ぎず、標準ではありません。
• 複雑さとセキュリティとの間の正しいバランスを確保するには、脅威モデリングを実行する必要があります。

Unix DACには標準があります

以前の関連質問に対する回答を見るhttps://unix.stackexchange.com/a/731556/305714

要約：POSIXは、UnixシリーズのオペレーティングシステムにおけるDACの期待を簡単に説明しています。 POSIXに厳密に準拠した展開はほとんどありませんが、影響力のある汎用言語のままです。

POSIXはSELinuxのようなものを必要としないので、広く使用されていません。

リンゴとオレンジ。 DAC！ =マック。

可能なアクセス制御の完全なエコシステムがあります。以前WikipediaにリンクされているDACページの「参照」セクションには多くの例があります。

SELinuxは必須アクセス制御を実装したものです。 DACがSELinuxを使用しない理由を尋ねるのはカテゴリ間違いです。これは、RBACが深いパケット検査を使用しない理由、または自転車がコンクリート係留装置を使用しない理由を尋ねるのと同じです。

競争的なMACの実装

MACの世界では、SELinuxは1つの例に過ぎません。よく知られていますが、実装方法が多く、何が標準であるべきかについての合意はありません。人々がMACがより広くなければならないことに同意したとしても、SELinux、AppArmor、TOMOYO、または他のものでなければならないかどうかについて意見の違いがあります。

複雑さとセキュリティのバランス

セキュリティコンピューティングというものはありません。必要に応じてセキュリティを複雑にすることができます。ゲームコンソールを自宅で「安全」に保つには、電源を切り、山の樽に入れて溶かし、山の樽を火山に投げる必要があります。

人々はなぜこれをしないのですか？どのセキュリティ対策が合理的であるかを評価するときは、リスクに比例する必要があるからです。侵害率と侵害当たりの費用。

これは脅威モデリングによって行われます。システムの攻撃面、脅威行為者の可能なリソースと意図、システムのデータやコンピューティングパフォーマンスなどのリソースの価値を分析できます。

複雑なシステムを維持するためのコストが損傷コストよりも大きく、展開時に実際の問題になる可能性がない脅威に対するセキュリティの実装によって複雑さが発生した場合、セキュリティをわずかに軽減するのは合理的な復帰だけでなく管理も簡単になりました。 、実際には他の措置を取ることは経済的に非合理的です。

これらの妥協案は人によって異なり、あなたが他の国レベルの脅威に対抗してサイバー戦争を行う国家行為者である場合、妥協のリスクとコストが大きすぎると判断して国家安全保障などを維持するためにSELinuxなどを使用する必要があります。

ただし、Elden RingをプレイしてRedditを閲覧したいMom＆Pop Linuxユーザーの場合、MACの複雑さのために負担をかける必要はなく、IPTables構成を強化して実行を回避できますcurl http://some.cool.scripts | sudo bash。