关于SELinux的一些知识（工作当中都是默认关闭的）

一、基本概念
SELinux(Security-EnhancedLinux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。
SELinux提供了一种灵活的强制访问控制(MAC)系统，且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。
1.对内核对象和服务的访问控制
2.对进程初始化，继承和程序执行的访问控制
3.对文件系统，目录，文件和打开文件描述的访问控制
4.对端口，信息和网络接口的访问控制
在linux里所有的文件和进程都有一个值，这个值被称为安全值，当我满足或者匹配到这个安全值，那么才能进行访问。（http默认目录是在/var/www/html当我将这个默认的访问目录更改时你默认创建的 目录对应性另一个安全值，而我们默认访问的就是第一种安全值所以如果开启了selinux则不能访问更改后目录的东西）-------安全子系统
二、SELinux 的作用及权限管理机制
2.1 SELinux 的作用
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。设想一下，如果一个以 root 身份运行的网络服务存在 0day漏洞，黑客就可以利用这个漏洞，以 root 的身份在您的服务器上为所欲为了。是不是很可怕？SELinux 就是来解决这个问题的。
2.2 DAC
在没有使用 SELinux 的操作系统中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、执行）。只要访问这个资源的进程符合以上的条件就可以被访问。而最致命问题是，root 用户不受任何管制，系统上任何资源都可以无限制地访问。这种权限管理机制的主体是用户，也称为自主访问控制（DAC）。
2.3 MAC
在使用了 SELinux 的操作系统中，决定一个资源是否能被访问的因素除了上述因素之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。
这样一来，即使进程是以 root 身份运行的，也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。即使是以 root 身份运行的服务进程，一般也只能访问到它所需要的资源。即使程序出了漏洞，影响范围也只有在其允许访问的资源范围内。安全性大大增加。这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。
而 MAC 又细分为了两种方式，一种叫类别安全（MCS）模式，另一种叫多级安全（MLS）模式。下文中的操作均为 MCS 模式。
三、SELinux 基本概念
3.1 主体（Subject）可以完全等同于进程。
注：为了方便理解，如无特别说明，以下均把进程视为主体。
3.2 对象（Object）被主体访问的资源。可以是文件、目录、端口、设备等。
注：为了方便理解，如无特别说明，以下均把文件或者目录视为对象。
3.3 政策和规则（Policy & Rule）
系统中通常有大量的文件和进程，为了节省时间和开销，通常我们只是选择性地对某些进程进行管制。
而哪些进程需要管制、要怎么管制是由政策决定的。
一套政策里面有多个规则。部分规则可以按照需求启用或禁用（以下把该类型的规则称