SELinux

SELinux（Security-Enhanced Linux）是一个用于Linux操作系统的强制访问控制（MAC）机制。它的目标是提供更强大的系统安全保护，通过限制进程和用户对系统资源的访问，防止恶意软件的传播和提高系统的安全性。

传统的Linux访问控制基于自愿许可（Discretionary Access Control，DAC），它依赖于用户和进程的自我限制。然而，SELinux引入了强制许可（Mandatory Access Control，MAC），它强制实施访问策略规则。这意味着即使用户或进程具有访问资源的权限，也需要满足额外的访问策略才能进行访问。

SELinux使用了一种名为"标签"的机制来对系统资源（如文件、目录、进程等）进行标记和管理。每个资源都具有一个唯一的安全上下文标签，包含有关其权限和访问控制的信息。当请求访问某个资源时，SELinux会检查资源的标签与访问请求的标签之间的策略规则，以确定是否允许访问。

SELinux提供了三个主要的安全域（Domain）：
1. 安全上下文转换：用于标识系统中的进程或服务，并确定其可以访问的资源范围。
2. 访问向量缺省策略（Access Vector Cache，AVC）：用于记录和缓存访问规则，以加快其检查过程。
3. 策略管理：用于定义和管理SELinux的策略，包括资源标签、访问规则等。

SELinux强制访问控制的优点是可以提供细粒度的访问控制和强大的安全保护，尽管它需要一定的配置和管理工作。它在许多Linux发行版中默认启用，并广泛应用于服务器环境中，以提高系统的安全性。