SELinux安全性配置

SELinux安全性配置

一.关于selinux

1.简介

　　SELinux(Security-Enhanced Linux，中文翻译为增强型Linux) 是美国国家安全局(NSA)对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。

　　SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。在selinux之前root拥有最大的权限先，可以随意的访问或更改任何文件和服务配置文件，如果某个文件设为777，那么任何用户都可以访问甚至删除。 这种方式称为DAC（主动访问机制），很不安全。DAC自主访问控制： 用户根据自己的文件权限来决定对文件的操作，也就是依据文件的own，group，other/r,w,x 权限进行限制。Root有最高权限无法限制。r，w，x权限划分太粗糙。无法针对不同的进程实现限制，而MAC则可以。对于目前可用的 Linux安全模块来说，SELinux 是功能最全面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版，例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的，并且提供一个可定制的安全策略，还提供很多用户层的库和工具，它们都可以使用 SELinux 的功能。

　　SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。

2.工作方式

　　在SELinux中，访问控制属性叫做安全上下文，所有客体（文件、进程间通讯通道、套接字、网络主机等）和主体（进程）都有与其关联的安全上下文，一个安全上下文由三部分组成：用户（u）、角色（r）、和类型（t）标识符。但我们最关注的是第三部分

　　当程序访问资源时 ，