SELinux es un módulo de seguridad integrado en el kernel de Linux que aplica políticas de control de acceso para regular cómo los procesos interactúan con los recursos del sistema.<\/p>
La Agencia de Seguridad Nacional de Estados Unidos (NSA) desarrolló SELinux y lo lanzó a la comunidad de código abierto en 2000.<\/p>
Su arquitectura se basa en el marco Linux Security Modules (LSM), que agrega enlaces al kernel para aplicar decisiones de seguridad.<\/p>
Esta configuración permite que SELinux intercepte y evalúe las solicitudes de acceso a nivel del kernel, para que cada operación cumpla con las políticas de seguridad definidas.<\/p>
SELinux se usa comúnmente en Red Hat Enterprise Linux (RHEL), CentOS, Fedora y otras distribuciones basadas en RHEL.<\/p>
Eso se debe a que estos sistemas ofrecen compatibilidad completa con SELinux, lo que facilita su configuración y administración en comparación con Debian y sus derivados, que limitan la compatibilidad con SELinux o no la habilitan de forma predeterminada.<\/p>
¿Cómo funciona SELinux?<\/strong> <\/h3>SELinux asigna un contexto de seguridad a cada interacción entre los procesos (sujetos) y los recursos del sistema (objetos). Cada contexto de seguridad incluye detalles como el usuario, el rol, el tipo y, de forma opcional, un nivel de sensibilidad.<\/p>
Cuando un proceso intenta acceder a un recurso, el motor de políticas de SELinux verifica los contextos de seguridad tanto del sujeto como del objeto según las reglas de la política definidas.<\/p>
Si la política permite la acción, SELinux concede acceso. Si no, bloquea la acción y, según el modo, registra el evento en el registro de auditoría para revisarlo.<\/p>
Este mecanismo garantiza que los procesos se ejecuten solo con los privilegios mínimos que necesitan, siguiendo el principio de privilegio mínimo. Mantiene la integridad del sistema y reduce el riesgo de daños causados por aplicaciones comprometidas o que no funcionan correctamente.<\/p>
¿Qué es el control de acceso obligatorio (MAC) en SELinux?<\/strong> <\/h3>El control de acceso obligatorio (MAC) es un marco de seguridad que aplica políticas estrictas sobre cómo los sujetos, como las aplicaciones de usuario o los servicios del sistema, interactúan con los objetos, como los archivos, los directorios y los puertos de red en un sistema Linux.<\/p>
A diferencia del control de acceso discrecional (DAC), en el que tú puedes establecer permisos sobre los archivos que tienes, las políticas de control de acceso obligatorio (MAC) se definen de forma centralizada y el sistema las aplica, lo que significa que ni siquiera las personas con privilegios pueden ignorarlas.<\/p>
Por ejemplo, con DAC, un administrador del sistema podría conceder por accidente a un proceso del servidor web acceso de lectura y escritura a un archivo de configuración sensible.<\/p>
Con MAC implementado, la política de SELinux puede impedir explícitamente que ese proceso escriba en archivos del sistema, incluso si los permisos de DAC lo permiten.<\/p>
En otras palabras, si las reglas de DAC y MAC entran en conflicto, SELinux aplica la regla más restrictiva. Este control estricto es una de las principales razones por las que SELinux ofrece una capa de defensa tan sólida en los entornos Linux.<\/p>
¿Qué son las políticas de SELinux?<\/strong> <\/h3>Las políticas de SELinux son conjuntos de reglas de acceso que definen los permisos que se otorgan a los sujetos sobre los objetos. Estas políticas forman el núcleo de la implementación del control de acceso obligatorio de SELinux.<\/p>
Por ejemplo, una política podría permitir que un proceso con la etiqueta httpd_t<\/strong> lea archivos con la etiqueta httpd_sys_content_t<\/strong>, pero negar el acceso a los que tengan la etiqueta user_home_t<\/strong>.<\/p>Los administradores suelen escribir estas políticas en un lenguaje de políticas específico y luego compilarlas en un formato binario que el módulo del kernel de SELinux puede cargar y aplicar.<\/p>
Usan herramientas como semanage<\/strong> para gestionar componentes de políticas y audit2allow<\/strong> para generar módulos de políticas personalizados a partir de registros de auditoría.<\/p>Estas herramientas ayudan a adaptar las políticas de SELinux a los requisitos de seguridad específicos de diferentes entornos, lo que garantiza flexibilidad y una sólida protección del sistema.<\/p>
¿Cuáles son los diferentes modos de SELinux?<\/strong> <\/h3>Hay tres modos diferentes de SELinux: enforcing<\/strong>, permissive<\/strong> y disabled<\/strong>. Cada modo determina cómo se aplican las políticas de seguridad en los sistemas Linux.<\/p>Modo de aplicación<\/strong> <\/p>En el modo de aplicación, SELinux aplica activamente sus políticas de seguridad. Bloquea cualquier acción que infrinja la política y registra un mensaje de denegación correspondiente. Este modo ofrece el nivel más alto de seguridad y se recomienda para entornos de producción.<\/p>
Por ejemplo, si un proceso de servidor web intenta acceder a un archivo de configuración al que no debería acceder, SELinux en modo de aplicación bloquea el acceso y registra el evento, lo que ayuda a prevenir posibles vulneraciones de seguridad.<\/p>
Modo permisivo<\/strong> <\/p>El modo permisivo permite todas las acciones, incluso las que infringen las políticas de SELinux, pero registra las que se habrían denegado en el modo de cumplimiento. Este modo es útil para solucionar problemas y desarrollar políticas, ya que te da visibilidad sin interferir.<\/p>
Por ejemplo, al configurar una nueva aplicación, un administrador cambia SELinux al modo permisivo para identificar y ajustar las infracciones de la política, de modo que la configuración final funcione sin problemas y no active inconvenientes de cumplimiento.<\/p>
Modo desactivado<\/strong> <\/p>El modo deshabilitado significa que SELinux está completamente desactivado: no se aplica ni se registra ninguna política. Por lo general, desaconsejamos este modo porque elimina la capa adicional de protección de SELinux.<\/p>
Volver a habilitar SELinux después de haberlo deshabilitado requiere volver a etiquetar el sistema de archivos para aplicar las políticas correctamente.<\/p>
Un caso de uso común de este modo es un sistema que ejecuta aplicaciones heredadas incompatibles con SELinux. En esos casos, una persona administradora desactiva temporalmente SELinux, plenamente consciente de los riesgos de seguridad asociados.<\/p>
¿Cómo configurar SELinux?<\/strong> <\/h2>Para configurar SELinux, primero abre una aplicación de terminal, ya que la necesitarás para ejecutar comandos de Linux<\/a> y aplicar cambios de configuración. En una computadora personal, simplemente enciéndela y abre la aplicación.<\/p>Si usas un servidor privado virtual (VPS), necesitarás acceso SSH para conectarte a tu servidor. Si usas el hosting CentOS de Hostinger<\/a>, puedes encontrar tus credenciales de SSH en hPanel → VPS → Administrar → Resumen → Detalles del VPS<\/strong>.<\/p>![\"Las](\"\/es\/tutoriales\/wp-content\/uploads\/sites\/32\/2026\/04\/hpanel-descripcion-general-del-vps-detalles-del-vps-nombre-de-usuario-de-ssh-ipv4-resaltada.png\")
El control de acceso obligatorio (MAC) es un marco de seguridad que aplica políticas estrictas sobre cómo los sujetos, como las aplicaciones de usuario o los servicios del sistema, interactúan con los objetos, como los archivos, los directorios y los puertos de red en un sistema Linux.<\/p>
A diferencia del control de acceso discrecional (DAC), en el que tú puedes establecer permisos sobre los archivos que tienes, las políticas de control de acceso obligatorio (MAC) se definen de forma centralizada y el sistema las aplica, lo que significa que ni siquiera las personas con privilegios pueden ignorarlas.<\/p>
Por ejemplo, con DAC, un administrador del sistema podría conceder por accidente a un proceso del servidor web acceso de lectura y escritura a un archivo de configuración sensible.<\/p>
Con MAC implementado, la política de SELinux puede impedir explícitamente que ese proceso escriba en archivos del sistema, incluso si los permisos de DAC lo permiten.<\/p>
En otras palabras, si las reglas de DAC y MAC entran en conflicto, SELinux aplica la regla más restrictiva. Este control estricto es una de las principales razones por las que SELinux ofrece una capa de defensa tan sólida en los entornos Linux.<\/p>
¿Qué son las políticas de SELinux?<\/strong> <\/h3>Las políticas de SELinux son conjuntos de reglas de acceso que definen los permisos que se otorgan a los sujetos sobre los objetos. Estas políticas forman el núcleo de la implementación del control de acceso obligatorio de SELinux.<\/p>
Por ejemplo, una política podría permitir que un proceso con la etiqueta httpd_t<\/strong> lea archivos con la etiqueta httpd_sys_content_t<\/strong>, pero negar el acceso a los que tengan la etiqueta user_home_t<\/strong>.<\/p>Los administradores suelen escribir estas políticas en un lenguaje de políticas específico y luego compilarlas en un formato binario que el módulo del kernel de SELinux puede cargar y aplicar.<\/p>
Usan herramientas como semanage<\/strong> para gestionar componentes de políticas y audit2allow<\/strong> para generar módulos de políticas personalizados a partir de registros de auditoría.<\/p>Estas herramientas ayudan a adaptar las políticas de SELinux a los requisitos de seguridad específicos de diferentes entornos, lo que garantiza flexibilidad y una sólida protección del sistema.<\/p>
¿Cuáles son los diferentes modos de SELinux?<\/strong> <\/h3>Hay tres modos diferentes de SELinux: enforcing<\/strong>, permissive<\/strong> y disabled<\/strong>. Cada modo determina cómo se aplican las políticas de seguridad en los sistemas Linux.<\/p>Modo de aplicación<\/strong> <\/p>En el modo de aplicación, SELinux aplica activamente sus políticas de seguridad. Bloquea cualquier acción que infrinja la política y registra un mensaje de denegación correspondiente. Este modo ofrece el nivel más alto de seguridad y se recomienda para entornos de producción.<\/p>
Por ejemplo, si un proceso de servidor web intenta acceder a un archivo de configuración al que no debería acceder, SELinux en modo de aplicación bloquea el acceso y registra el evento, lo que ayuda a prevenir posibles vulneraciones de seguridad.<\/p>
Modo permisivo<\/strong> <\/p>El modo permisivo permite todas las acciones, incluso las que infringen las políticas de SELinux, pero registra las que se habrían denegado en el modo de cumplimiento. Este modo es útil para solucionar problemas y desarrollar políticas, ya que te da visibilidad sin interferir.<\/p>
Por ejemplo, al configurar una nueva aplicación, un administrador cambia SELinux al modo permisivo para identificar y ajustar las infracciones de la política, de modo que la configuración final funcione sin problemas y no active inconvenientes de cumplimiento.<\/p>
Modo desactivado<\/strong> <\/p>El modo deshabilitado significa que SELinux está completamente desactivado: no se aplica ni se registra ninguna política. Por lo general, desaconsejamos este modo porque elimina la capa adicional de protección de SELinux.<\/p>
Volver a habilitar SELinux después de haberlo deshabilitado requiere volver a etiquetar el sistema de archivos para aplicar las políticas correctamente.<\/p>
Un caso de uso común de este modo es un sistema que ejecuta aplicaciones heredadas incompatibles con SELinux. En esos casos, una persona administradora desactiva temporalmente SELinux, plenamente consciente de los riesgos de seguridad asociados.<\/p>
¿Cómo configurar SELinux?<\/strong> <\/h2>Para configurar SELinux, primero abre una aplicación de terminal, ya que la necesitarás para ejecutar comandos de Linux<\/a> y aplicar cambios de configuración. En una computadora personal, simplemente enciéndela y abre la aplicación.<\/p>Si usas un servidor privado virtual (VPS), necesitarás acceso SSH para conectarte a tu servidor. Si usas el hosting CentOS de Hostinger<\/a>, puedes encontrar tus credenciales de SSH en hPanel → VPS → Administrar → Resumen → Detalles del VPS<\/strong>.<\/p>
Los administradores suelen escribir estas políticas en un lenguaje de políticas específico y luego compilarlas en un formato binario que el módulo del kernel de SELinux puede cargar y aplicar.<\/p>
Usan herramientas como semanage<\/strong> para gestionar componentes de políticas y audit2allow<\/strong> para generar módulos de políticas personalizados a partir de registros de auditoría.<\/p> Estas herramientas ayudan a adaptar las políticas de SELinux a los requisitos de seguridad específicos de diferentes entornos, lo que garantiza flexibilidad y una sólida protección del sistema.<\/p> Hay tres modos diferentes de SELinux: enforcing<\/strong>, permissive<\/strong> y disabled<\/strong>. Cada modo determina cómo se aplican las políticas de seguridad en los sistemas Linux.<\/p> Modo de aplicación<\/strong> <\/p> En el modo de aplicación, SELinux aplica activamente sus políticas de seguridad. Bloquea cualquier acción que infrinja la política y registra un mensaje de denegación correspondiente. Este modo ofrece el nivel más alto de seguridad y se recomienda para entornos de producción.<\/p> Por ejemplo, si un proceso de servidor web intenta acceder a un archivo de configuración al que no debería acceder, SELinux en modo de aplicación bloquea el acceso y registra el evento, lo que ayuda a prevenir posibles vulneraciones de seguridad.<\/p> Modo permisivo<\/strong> <\/p> El modo permisivo permite todas las acciones, incluso las que infringen las políticas de SELinux, pero registra las que se habrían denegado en el modo de cumplimiento. Este modo es útil para solucionar problemas y desarrollar políticas, ya que te da visibilidad sin interferir.<\/p> Por ejemplo, al configurar una nueva aplicación, un administrador cambia SELinux al modo permisivo para identificar y ajustar las infracciones de la política, de modo que la configuración final funcione sin problemas y no active inconvenientes de cumplimiento.<\/p> Modo desactivado<\/strong> <\/p> El modo deshabilitado significa que SELinux está completamente desactivado: no se aplica ni se registra ninguna política. Por lo general, desaconsejamos este modo porque elimina la capa adicional de protección de SELinux.<\/p> Volver a habilitar SELinux después de haberlo deshabilitado requiere volver a etiquetar el sistema de archivos para aplicar las políticas correctamente.<\/p> Un caso de uso común de este modo es un sistema que ejecuta aplicaciones heredadas incompatibles con SELinux. En esos casos, una persona administradora desactiva temporalmente SELinux, plenamente consciente de los riesgos de seguridad asociados.<\/p> Para configurar SELinux, primero abre una aplicación de terminal, ya que la necesitarás para ejecutar comandos de Linux<\/a> y aplicar cambios de configuración. En una computadora personal, simplemente enciéndela y abre la aplicación.<\/p> Si usas un servidor privado virtual (VPS), necesitarás acceso SSH para conectarte a tu servidor. Si usas el hosting CentOS de Hostinger<\/a>, puedes encontrar tus credenciales de SSH en hPanel → VPS → Administrar → Resumen → Detalles del VPS<\/strong>.<\/p>¿Cuáles son los diferentes modos de SELinux?<\/strong> <\/h3>
¿Cómo configurar SELinux?<\/strong> <\/h2>