Seguridad de Linux: Explorando SELinux a fondo

Conoce SELinux: DAC vs MAC, contextos de seguridad, modos Enforcing/Permissive, gestión de archivos, booleans y auditoría para desplegar sistemas más seguros sin perder funcionalidad.

21 sept 2025 • 5 min de lectura • Equip Q2BSTUDIO

Inteligencia-Artificial-

Si has trabajado con distribuciones Linux basadas en Red Hat como Fedora, CentOS o RHEL seguro te has topado con SELinux, ese componente que muchos consideran un obstáculo y que terminan desactivando con setenforce 0. Sin embargo SELinux no es un enemigo sino un guardián que fortalece la seguridad del sistema mediante un modelo de Control de Acceso Obligatorio o MAC que limita lo que procesos y archivos pueden hacer más allá de los permisos tradicionales.

Concepto clave: DAC frente a MAC. En el modelo tradicional Discretionary Access Control DAC los permisos rwx para propietario grupo y otros determinan el acceso y el administrador root puede anular casi todo. En el modelo Mandatory Access Control MAC que implementa SELinux las reglas vienen definidas por una política del sistema y son obligatorias incluso para root. Si la política impide que el proceso del servidor web httpd_t escriba en un directorio con contexto user_home_t el acceso será denegado aunque los permisos DAC lo permitan. Este enfoque ayuda a contener daños cuando un servicio se compromete evitando movimientos laterales hacia datos de usuarios o archivos críticos del sistema.

Contextos de seguridad. El núcleo de SELinux son los contextos de seguridad o etiquetas. Cada archivo directorio y proceso tiene un contexto formado por cuatro componentes user:role:type:level donde el componente type es el más relevante para la mayoría de los casos. La política de SELinux define que procesos de tipo httpd_t solo pueden acceder a archivos de tipo httpd_sys_content_t por ejemplo. Puedes inspeccionar contextos usando las versiones con la opción Z de comandos conocidos como ls -lZ o ps auxZ para ver los tipos asociados a archivos y procesos.

Modos de SELinux y comandos básicos. Para diagnosticar primero comprueba el modo con getenforce que retorna Enforcing Permissive o Disabled. Enforcing aplica la política y deniega y registra violaciones. Permissive registra sin bloquear y es útil para pruebas. Disabled apaga SELinux y no se recomienda. Para ver más información usa sestatus. Cambiar el modo temporalmente se hace con setenforce 0 para permisos o setenforce 1 para imponer la política. Para cambios permanentes edita el archivo /etc/selinux/config y reinicia el sistema.

Gestión de contextos de archivos. Un problema frecuente es el contexto incorrecto tras mover archivos. chcon cambia el contexto de forma temporal por ejemplo chcon -t httpd_sys_content_t archivo pero no es persistente. Para reglas permanentes usa semanage fcontext -a -t httpd_sys_content_t '/ruta(/.*)?' y luego aplica esas etiquetas con restorecon -Rv /ruta. De este modo puedes servir contenido desde directorios no estándar sin desactivar SELinux.

Booleans de SELinux. Los booleans son interruptores que ajustan el comportamiento de la política sin escribir nuevas reglas. Lista todos con getsebool -a y cambia valores con setsebool por ejemplo setsebool httpd_can_network_connect on para permitir que httpd haga conexiones de red. Para persistir el cambio añade la opción -P.

Auditoría y resolución de problemas. Las denegaciones aparecen como mensajes AVC en los registros de auditoría normalmente ubicados en /var/log/audit/audit.log. Filtra por denied para encontrar entradas relevantes. Herramientas como sealert del paquete setroubleshoot-server traducen AVC crípticos a explicaciones y sugerencias. audit2allow puede generar reglas de política a partir de negaciones pero debe usarse con extremo cuidado porque puede abrir brechas si se acepta cualquier sugerencia sin revisar.

Casos prácticos. Servir una web desde /srv/mywebsite requiere ajustar el contexto y crear la regla persistente con semanage fcontext. Cambiar el puerto de un servicio implica registrar el nuevo puerto con semanage port -a -t ssh_port_t -p tcp 2222 si fuera el caso de ssh. Para scripts o procesos que necesitan acceder a recursos fuera de su contexto por defecto considera cambiar el contexto del binario o crear un módulo de política personalizado.

Comandos y opciones útiles de semanage. La sintaxis general es semanage objeto -acción opciones donde los objetos comunes son fcontext port boolean user login y las acciones incluyen -a añadir -d borrar -m modificar y -l listar. La opción -C lista solo las personalizaciones locales facilitando ver lo que has cambiado respecto al policy por defecto.

Por qué no debes desactivar SELinux por costumbre. Tratar SELinux como una molestia y desactivarlo es renunciar a una capa de defensa crítica. Conocer sus conceptos básicos control de contextos booleans y cómo leer los registros te permite mantener un sistema funcional y mucho más resistente a ataques y errores de configuración.

En Q2BSTUDIO somos especialistas en desarrollo de software y aplicaciones a medida y entendemos que la seguridad es parte esencial del ciclo de vida del software. Ofrecemos servicios integrales que incluyen auditorías de ciberseguridad pentesting y soluciones a medida que integran inteligencia artificial y prácticas de hardening como la correcta configuración de SELinux. Si te interesa reforzar la protección de tus sistemas puedes conocer nuestros servicios de ciberseguridad y pentesting en servicios de ciberseguridad y pentesting o explorar cómo desarrollamos aplicaciones y software a medida en desarrollo de aplicaciones y software a medida. Además en Q2BSTUDIO trabajamos con soluciones de inteligencia artificial para empresas agentes IA automatización y análisis con Power BI integrando servicios cloud aws y azure y servicios de inteligencia de negocio para ofrecer proyectos escalables y seguros.

Conclusión. SELinux puede parecer complejo al principio pero dominar sus principios MAC contextos y herramientas de auditoría permite desplegar sistemas seguros sin sacrificar funcionalidad. Enfócalo como una capa adicional de defensa y apóyate en equipos expertos cuando necesites políticas personalizadas módulos o auditorías de seguridad para tus aplicaciones a medida e infraestructuras en la nube.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat