SELinux 简介

本文介绍了SELinux（Security Enhanced Linux）的基本概念，这是一个由美国国家安全局（NSA）开发的安全模块，旨在解决进程与文件资源之间权限相关的问题。

初识 SELinux

SELinux 解决了传统 UNIX 类系统中自主访问控制（Discretionary Access Control, DAC）的不足，如 root 用户的过高权限和文件权限设置的潜在风险。为此，SELinux 实现了强制访问控制（Mandatory Access Control, MAC）来提供更细粒度的权限管理。

自主访问控制（DAC）

DAC 是一种基本权限控制机制，通过 rwx 权限来限制用户对系统资源的访问，但其存在诸多安全漏洞。

强制访问控制（MAC）

与 DAC 相比，MAC 提供了更细粒度的权限控制，它考虑了安全策略和标签，即使是 root 用户也可能受到限制。SELinux 利用 MAC 引入了安全上下文（context）来制定访问规则。

基础概念

SELinux 控制的主体是进程或用户，目标是文件资源。SELinux 策略由多个规则组成，用于控制进程对文件资源的访问。安全上下文是 SELinux 中的核心概念，每个进程和文件资源都被赋予一个标签，决定访问权限。

安全上下文

安全上下文由 User（用户）、role（角色）和 type（类型）组成，它们合在一起确定进程是否可以访问文件资源。例如，httpd 进程可以访问 /var/www/html/，但不能访问 /tmp。

总结

SELinux 是一个基于 MAC 模型的安全增强模块，它通过安全上下文来精细控制进程与系统资源之间的权限，弥补了 DAC 的安全不足。