SELinux - Als Privatnutzer problemlos zu deaktivieren oder lieber nicht?

Ich habe mich bisher nicht viel um SELinux gekümmert. Dass es existiert, war mir klar und dass es sich um Zugriffsrichtlinien handelt, die bestimmte Dinge unterbinden sollen, auch. Nun habe ich allerdings direkt damit zu tun und frage mich, wozu ich SELinux als Privatnutzer eigentlich benötige. Auf Servern kann ich einen Nutzen sehr stark erkennen. Auch bei uns in der Firma ist SELinux auf den Linux-Servern immer aktiviert. Aber brauche ich das?

Hintergrund meiner Frage: Unter Windows nutze ich seit Jahren die Backup- und Synchronisierungssoftware Syncovery. Darüber habe ich Profile erstellt, über die ich meine wichtigen Daten sowohl verschlüsselt in der Cloud meiner Wahl als auch auf einer externen Festplatte sichere und sie ggf. bei Bedarf wiederherstellen kann. Zusätzlich habe ich mir ein Profil eingerichtet, welches es mir ermöglicht, Dokumente, Bilder und andere Daten in Echtzeit mit OneDrive zu synchronisieren. Damit benötige ich den OneDrive-Client unter Windows 11 / 10 nicht mehr.

Jetzt habe ich versucht, dieses OneDrive-Profil unter Linux im Webfrontend von Syncovery (Es gibt keine eigene App, sondern nur ein Webfrontend und einen Dienst, der im Hintergrund die Jobs erledigt.) nachzubauen. Im Probelauf hagelte es jedoch jede Menge Zugriffsfehler. Mein lokaler OneDrive-Ordner liegt auf einer separaten, internen NTFS-Festplatte, die ich per fstab beim Start verbinden lasse. Zugriff erhalte ich dann über /mnt/daten.

Mit dem Entwickler habe ich mich bezüglich der Zugriffsfehler in Verbindung gesetzt und letztendlich den Hinweis bekommen, dass diese Fehler vermutlich durch ein aktiviertes SELinux auftreten. Zum Test deaktivierte ich SELinux über das Terminal temporär und siehe da, es traten keine Zugriffsfehler mehr auf. Meine Daten wurden nun sowohl lokal als auch nach OneDrive erfolgreich synchronisiert.

Ich spiele jetzt natürlich mit dem Gedanken, SELinux permanent zu deaktivieren. Da ich keinen Server betreibe und mein Rechner sowohl durch die Firewall meiner FRITZ!Box als auch durch firewalld geschützt wird, dürfte das doch kein Problem darstellen, denke ich ...

Was ist eure Meinung dazu?

Zitat von BestAger

Solltest du ein komprommitierte Software in deinem System haben, kann ein MAC-System noch eingreifen. Wenn du dieses MAC-System (Fedora setzt auf SE-Linux, alle anderen Distro auf AppArmor) dann schaffst du dir eine risikovolle Sicherheitslücke im System.

So etwas in der Art dachte ich mir schon. Und ich sehe hier definitiv einen Nutzen auf Servern. Aber privat? Was tut denn Windows, um mich vor solcher kompromittierter Software zu schützen? Der Defender hilft da nicht wirklich ... Und unter Windows hab ich mir wirklich viel Software nachinstalliert, deren Quellen ich einfach vertrauen musste. Hier unter Linux habe ich zumindest etwas mehr Sicherheit oder ein sicheres Gefühl, da die Software meist über das Software-Center, Flathub oder Snapcraft kommt. Nur selten muss ich auf fremde Paketserver oder RPM-Pakete zurückgreifen.

Zitat von Jan

dass ich es privat nicht zwingend brauche

Das wäre bisher auch noch immer meine Sicht auf SELinux.

Wie sieht das eigentlich mit SELinux in anderen Distributionen aus? Ist es dort auch von Hause aus aktiviert?

Zitat von Gedankenfeder

dann mache ich einen separaten Thread auf

Das würde ich an deiner Stelle tun. Denn mein Thema hier hat etwas mit SELinux und nur indirekt etwas mit OneDrive zu tun.

Seit einigen Tagen nutze ich Nobara. Dort ist AppArmor (Ubuntu) und nicht SELinux (Fedora) installiert. Hier habe ich das ursprüngliche Problem mit den Berechtigungen von Syncovery nicht. Das WebGUI kann ohne Probleme meine Dateien lesen und schreiben.