linux-安全管理-SELinux / AppArmor

Linux 安全管理：SELinux 与 AppArmor

在现代Linux系统中，安全性管理是至关重要的任务，特别是随着互联网安全威胁的不断增加。为增强系统的安全性，Linux提供了两大主流的强制访问控制（MAC，Mandatory Access Control）系统：SELinux（Security-Enhanced Linux）和AppArmor。这两者都是基于内核的安全模块，旨在通过限制进程和用户对系统资源的访问来加强系统的安全防护。

---

1. SELinux 简介

1.1 什么是 SELinux？

SELinux 是由美国国家安全局（NSA）开发的一个Linux内核安全模块，它通过强制访问控制（MAC）策略限制进程对系统资源（文件、端口、设备等）的访问。与传统的自主访问控制（DAC，Discretionary Access Control）不同，SELinux允许系统管理员定义更加严格的访问控制规则，即使是具有超级用户权限的进程也会受到限制。

1.2 SELinux 的工作原理

SELinux基于“安全上下文”（Security Context）来控制访问。每个对象（如文件、进程、端口等）和主体（用户、进程）都有一个安全上下文。安全上下文由三个部分组成：

• 用户（User）：表示SELinux中的用户身份，不同于Linux系统中的用户。
• 角色（Role）：指定用户在系统中可以扮演的角色。
• 类型（Type）：最重要的部分，决定进程和资源的访问控制。每个对象和进程都有一个类型，SELinux通过类型强制访问控制（Type Enforcement，简称TE）来定义进程与资源之间的访问规则。

1.3 SELinux 的模式

SELinux支持三种模式：

• Enforcing（强制模式）：这是SELinux的默认模式，在这种模式下，SELinux策略会被强制执行，所有违规的访问尝试都会被阻止。
• Permissive（宽容模式）：在这种模式下