Linux历史上最杰出的新安全子系统------SELinux

1.简单的了解什么是SELinux:
**SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。**NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC）系统。对于目前可用的 Linux安全模块来说，SELinux 是功能最全面，而且测试最充分的，它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略，并采用了基于角色的访问控制概念。大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版，例如 Fedora、Red Hat Enterprise Linux (RHEL）、Debian或 Centos。它们都是在内核中启用 SELinux 的，并且提供一个可定制的安全策略，还提供很多用户层的库和工具，它们都可以使用 SELinux 的功能。
SELinux是一种基于 域-类型 模型（domain-type）的强制访问控制（MAC）安全系统，它由NSA编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下，那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。
SELinux提供了一种灵活的强制访问控制(MAC)系统，且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。
一般在实际生产环境之中SELinux是默认关闭的。
SELinux的特点:

1)对内核对象和服务的访问控制;
2)对进程初始化或继承和程序执行的访问控制;
3)对文件系统、目录、文件和打开文件描述的访问控制;
4)对端口、信息和网络接口的访问控制;

在Linux操作系统中所有的文件和进程都有一个值，这个值被称为安全值(也可以简单的理解为权限)，当我满足或者匹配到这个安全值时，那么才能进行正常的访问。（例如:HTTP服务的默认目录是/var/www/html，当我们将这个默认的访问目录更改为默认创建的目录对应的另一个安全值时，而我们默认访问的就是第一种安全值，所以如果开启了SELinux则不能访问更改后目录的任何东西）
2.学习SELinux的作用及其权限管理机制:
2.1 SELinux 的作用:
SELinux主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。
设想一下，如果以root身份运行的网络服务存在某一漏洞的话，那么黑客就可以利用这个漏洞，以 root 的身份在您的服务器上为所欲为了。是不是很可怕？
SELinux就是来解决这个问题的。
2.2我们系统实现的访问控制一般分为以下两类:

1)DAC，在没有使用 SELinux 的操作系统中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、执行等）。只要访问这个资源的进程符合以上的条件就可以被访问。而最致命问题是，root用户不受任何管制，它可以对系统上任何资源都可以无限制地访问。所以这种权限管理机制的主体是用户，也称为自主访问控制（DAC）。
2)MAC，在使用了 SELinux 的操作系统中，决定一个资源是否能被访问的因素除了DAC中的因素之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。这样一来，即使进程是以root 身份运行的，也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。即使是以root 身份运行的服务进程，一般也只能访问到它所需要的资源。即使程序出了漏洞，影响范围也只有在其允许访问的资源范围内，安全性大大提高。 这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。而
MAC又细分为两种方式，一种叫类别安全（MCS）模式，另一种叫多级安全（MLS）模式。 以下的操作均为 MCS 模式下的操作。

3.SELinux基本概念:
3.1SELinux中的主体（Subject）:可以理解为进程。(因为服务一般访问的时候，是通过