SELinux(Security-Enhanced Linux)是一個(gè)用于增強(qiáng)Linux操作系統(tǒng)安全性的安全模塊,它通過(guò)強(qiáng)制訪問(wèn)控制(MAC)來(lái)限制進(jìn)程和用戶對(duì)系統(tǒng)資源的訪問(wèn),提供了更細(xì)粒度的訪問(wèn)控制,從而有效地減少了系統(tǒng)的潛在攻擊面。
SELinux通過(guò)引入安全標(biāo)簽機(jī)制,為系統(tǒng)中的進(jìn)程、文件和設(shè)備打上特定的標(biāo)簽,這些標(biāo)簽反映了對(duì)象所屬的安全策略和權(quán)限。當(dāng)進(jìn)程試圖訪問(wèn)資源時(shí),SELinux會(huì)根據(jù)安全標(biāo)簽和訪問(wèn)規(guī)則進(jìn)行訪問(wèn)決策,只有符合訪問(wèn)規(guī)則的請(qǐng)求才能被允許,否則將被拒絕。
SELinux提供了三種工作模式:
通過(guò)這些模式,系統(tǒng)管理員可以根據(jù)需要調(diào)整SELinux的嚴(yán)格程度,以適應(yīng)不同的安全需求。