openSUSE ha anunciado un cambio importante en su distribución rolling release Tumbleweed: a partir de la snapshot 20250211, el sistema de control de acceso obligatorio (MAC) predeterminado pasará de AppArmor a SELinux en nuevas instalaciones.

Hasta ahora, openSUSE ha utilizado AppArmor como su módulo de seguridad en el kernel de Linux. Tal y como explica Red Hat, esta herramienta permite a los administradores establecer restricciones a programas individuales mediante perfiles específicos. Sin embargo, el equipo de desarrollo ha decidido que es momento de dar el salto a SELinux, un sistema con una adopción más amplia en entornos empresariales y con una arquitectura de seguridad más estricta.

¿En qué consiste este cambio de openSUSE?

Desde la llegada de la snapshot 20250211, los nuevos usuarios que instalen openSUSE Tumbleweed a través de la imagen ISO encontrarán que SELinux estará activado en modo enforcing de manera predeterminada. No obstante, quienes prefieran seguir con AppArmor, podrán seleccionarlo manualmente durante el proceso de instalación.

Las instalaciones actuales de openSUSE Tumbleweed no se verán afectadas. En otras palabras, los usuarios que ya utilizan AppArmor podrán seguir haciéndolo sin cambios forzosos en la configuración de su sistema. Además, aquellos interesados en migrar a SELinux contarán con una guía detallada en la wiki de openSUSE.

¿Por qué se ha tomado esta decisión?

Uno de los principales argumentos a favor de SELinux es que proporciona un mayor nivel de seguridad. A diferencia de AppArmor, que funciona con perfiles específicos para cada aplicación, SELinux aplica políticas de seguridad a nivel global en el sistema, lo que permite una gestión más estricta y detallada del acceso a los recursos.

Neal Gompa, desarrollador con experiencia en Fedora, CentOS y openSUSE, ha señalado que SELinux cuenta con una comunidad de desarrollo más activa, una adopción más extendida en infraestructuras de alto nivel y una mejor integración con las últimas tecnologías de Linux.

Impacto en los usuarios de openSUSE

Para la gran mayoría de los usuarios de openSUSE Tumbleweed, este cambio no implicará ninguna interrupción. Las instalaciones existentes seguirán funcionando con AppArmor, salvo que el usuario decida cambiar manualmente a SELinux.

Por otro lado, la imagen mínima de openSUSE Tumbleweed para máquinas virtuales también adoptará SELinux en modo enforcing como predeterminado. Esto refuerza la intención del equipo de desarrollo de alinear su estrategia de seguridad con las necesidades actuales del mercado.

En cuanto a la versión estable de openSUSE, Leap 15.x seguirá utilizando AppArmor por defecto y no experimentará cambios en este aspecto.

Implicaciones a largo plazo

Este paso supone una alineación de openSUSE con SUSE Linux Enterprise, que también está impulsando la adopción de SELinux. Se espera que esta transición fortalezca aún más la seguridad del ecosistema openSUSE, al ofrecer un módulo de control de acceso con mayor granularidad y un soporte consolidado en entornos empresariales.

Al mismo tiempo, los desarrolladores han reconocido que algunos usuarios pueden encontrar desafíos en la adopción de SELinux, especialmente aquellos que han trabajado con perfiles personalizados en AppArmor durante años. No obstante, la comunidad de openSUSE ha asegurado que el soporte para AppArmor continuará disponible y aquellos que prefieran seguir utilizándolo podrán instalarlo sin inconvenientes.

Con este movimiento, openSUSE refuerza su compromiso con la seguridad y la flexibilidad, dando a los usuarios la posibilidad de elegir la solución de control de acceso que mejor se adapte a sus necesidades.