>Честно говоря не въезжал в детали чем именно он так не угодил авторам сплойтов, но
>почему-то во всех более-менее похожих на "боевые" эксплойтах - нейтрализация selinux
>делается на раз, одной из первых операций. Стало быть мешался, раз выпиливают.

Понятное дело что после получения рута selinux дизейблить - не проблема. И все же, целесообразность не ясна, так как при наличии прав суперпользователя selinux - не помеха.

>А других методов и не будет.

Будет. Сегодня нет - завтра есть. ИИ на подходе (гипотетически допустимо и то что новые методы также на подходе).

>Я полагаю что контейнерами/виртуалками изолировать части систем друг от друга
>контейнерами/виртуалками не в пример проще для понимания, аудита процессов в этом всем и
>по степени изоляции - не хуже (openvz/lxc) или даже лучше (kvm/xen). В свете этого
>selinux нужен в основном старперам из АНБ, ФБИ и прочих, у которых - регламент, в
>котором если написано что трава должна быть зеленой, а на дворе декабрь - ну значит вот
>вам ведерко зеленой краски и кисточка. Поскольку регламенты я видал в гробу, а вот
>фактическая эффективность меня очень даже интересует - я позволяю себе нескромность
>решать задачи так как мне удобно. А с этим вашим селинуксом сами сношайтесь. Гемора
>много а толку мало, судя по сплойтам. Тогда как пролом до рута в машине на xen/kvm
>атакующему ничего особо не дает.

SELinux, AppArmor отражают очевидное и нужное решение в сфере безопасности приложении. Вопрос, кстати был такой и по теме: "Значит ли это что наличие selinux и тру администратора в системе равносильно его (selinux) остутствию?"
Расскажите, причем же тут (в узком контексте вопроса) вообще контейнеры/виртуалки. И раз уж пошла такая пьянка, прошу учесть что контейнеры/виртуалки и SELinux/AppArmor как бы разного уровня решения. SELinux/AppArmor может работать внутри контейнера/виртуалки но не наоборот, поэтому их сравнивать несколько неуместно.

> Никто не спорит что ssh давать без реальной нужды не стоит. Но
> git-shell все равно есть (для тех, кто не в курсе: git-shell
> задается в качестве login-shell, и юзверь не может попасть в систему,
> но может работать с репо через ssh).
>SSH позволяет довольно много всего - опенбсдшники превратили его в какой-то непотребный >комбайн, умеющий кидать впн, форвардить порты и что там еще. Проаудитить все возможные
>грабли при использовании такй монстрятины - редкий админ сможет, ихмо.

Комбайн хорош и весьма удобен. Нормальный админ сможет, даже если не умеет/не работал/никогда прежде. Мне ли Вам это объяснять?

>Так как раз осень. Самое время :)

Времена совпали, но контексты нет. Поэтому незачет.