总结

1：SELinux的访问控制是基于所有系统资源包括进程的安全上下文。安全上下文包含三个元素：用户，角色和
类型标识符。类型标识符是访问控制最关键的元素。

在SELinux中，强制访问控制（TE）是访问控制主要的特征。通过指定主体的标识（也被称作域标识）作为源和
客体的标识作为目的的allow规则，能够允许主体对客体的访问。通过指定使用一系列为每一个客体类定义的权限的
客体类也可以允许访问。

TE的一个关键的好处就是能够控制程序以给定的域标识运行，所以允许访问控制到个人程序而不是低安全层的用户。一个程序进入一个域的能力（也就是以给定的进程标识运行）成为域转换，并且被SELinux的allow规则严格控制。同时，SELinux也允许通过type_transition规则自动发生域转换。

2：在安全上下文的访问控制中，SELinux不直接使用角色标识符。所有的访问都是基于标识控制的。角色被用于和
被允许的域标识相关联，该域标识为代表一个用户的进程可能转换进入的标识。这允许了一组组合在一起的TE，并且授权一个用户担任一个角色。

3：SELinux提供了一个可选的MLS访问控制机制，该机制为数据敏感性应用提供了更深一步的访问限制。MLS的特质是建立在TE机制的基础上的。MLS也扩展了一些安全上下文来包含展一个当前的（或者是较低的）安全层和一个可选的较高的安全层。

<script type="text/javascript"> $(function () { $('pre.prettyprint code').each(function () { var lines = $(this).text().split('\n').length; var $numbering = $('<ul/>').addClass('pre-numbering').hide(); $(this).addClass('has-numbering').parent().append($numbering); for (i = 1; i <= lines; i++) { $numbering.append($('<li/>').text(i)); }; $numbering.fadeIn(1700); }); }); </script>

版权声明：本文为博主原创文章，未经博主允许不得转载。