什么是SELinux
- SELinux(Security Enhanced Linux)是Linux的一个内核模块,由美国国家安全局(NSA)开发的。
- SELinux最初开发目的是:避免资源的误用。
SELinux的作用
- SELinux是对正在运行的进程能否读写文件系统资源的管理,为了避免外部人员或内部人员因为获得某个特殊的进程对文件目录进行读写滥用或者攻击。
Linux系统中进程读写文件资源的两种方式
一、自主访问控制(DAC)
自主访问控制:
依据进程的拥有者与文件资源的rwx权限来决定有无读写权限。
这种方式的缺点:
1. root拥有最高的权限:如果某个root进程被外部人员获取,就能够对文件资源进行读写。
2.用户可以获取进程来修改文件资源访问权限:例如chmod 777 filename ,让任何人都能读写。
二、强制访问控制(MAC)
强制访问控制:
根据提供的策略,并在该策略内提供多个规则,控制进程是否能够读取文件资源。
SELinux工作方式
- SELinux是通过MAC的方式来管理进程的,它控制进程是否能够读取文件资源。
来源:http://cn.linux.vbird.org/linux_basic/0440processcontrol_5.php