SELinux的作用：1、通過對進(jìn)程和文件資源采用MAC控制方式，為Linux系統(tǒng)提供了改進(jìn)的安全性；2、賦予了主體最小的訪問特權(quán)，最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源，可以防止主體對其他用戶或進(jìn)程產(chǎn)生不利的影響；3、每個進(jìn)程都有自己的運(yùn)行區(qū)域，各進(jìn)程僅運(yùn)行在自己的域內(nèi)，無法訪問其他進(jìn)程和文件；4、SELinux能最大程序上限制Linux系統(tǒng)中的惡意代碼活動。

本教程操作環(huán)境：linux7.3系統(tǒng)、Dell G3電腦。

SELinux，Security Enhanced Linux 的縮寫，也就是安全強(qiáng)化的 Linux，是由美國國家安全局（NSA）聯(lián)合其他安全機(jī)構(gòu)（比如 SCC 公司）共同開發(fā)的，旨在增強(qiáng)傳統(tǒng) Linux 操作系統(tǒng)的安全性，解決傳統(tǒng) Linux 系統(tǒng)中自主訪問控制（DAC）系統(tǒng)中的各種權(quán)限問題（如 root 權(quán)限過高等）。

對于 SELinux，初學(xué)者可以這么理解，它是部署在 Linux 上用于增強(qiáng)系統(tǒng)安全的功能模塊。

傳統(tǒng)的 Linux 系統(tǒng)安全，采用的是 DAC（自主訪問控制方式），而 SELinux 是部署在 Linux 系統(tǒng)中的安全增強(qiáng)功能模塊，它通過對進(jìn)程和文件資源采用 MAC（強(qiáng)制訪問控制方式）為 Linux 系統(tǒng)提供了改進(jìn)的安全性。

SELinux的主要作用

• 通過對進(jìn)程和文件資源采用 MAC（強(qiáng)制訪問控制方式）控制方式，為 Linux 系統(tǒng)提供了改進(jìn)的安全性。

• 最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源（最小權(quán)限原則）。

  它賦予了主體（用戶或進(jìn)程）最小的訪問特權(quán)，這也就意味著，每個主體僅被賦予了完成相關(guān)任務(wù)所必須的一組有限的權(quán)限。通過賦予最小訪問特權(quán)，可以防止主體對其他用戶或進(jìn)程產(chǎn)生不利的影響。

• SELinux 管理過程中，每個進(jìn)程都有自己的運(yùn)行區(qū)域（稱為域），各進(jìn)程僅運(yùn)行在自己的域內(nèi)，無法訪問其他進(jìn)程和文件，除非被授予了特殊權(quán)限。

• SELinux 能最大程序上限制 Linux 系統(tǒng)中的惡意代碼活動。

擴(kuò)展知識：

SELinux 基本概念：

1、主體（Subject）：就是想要訪問文件或目錄資源的進(jìn)程。想要得到資源，基本流程是這樣的：由用戶調(diào)用命令，由命令產(chǎn)生進(jìn)程，由進(jìn)程去訪問文件或目錄資源。在自主訪問控制系統(tǒng)中（Linux 默認(rèn)權(quán)限中），靠權(quán)限控制的主體是用戶；而在強(qiáng)制訪問控制系統(tǒng)中（SELinux 中），靠策略規(guī)則控制的主體則是進(jìn)程。

2、目標(biāo)（Object）：這個概念比較明確，就是需要訪問的文件或目錄資源。

3、策略（Policy）：Linux 系統(tǒng)中進(jìn)程與文件的數(shù)量龐大，那么限制進(jìn)程是否可以訪問文件的 SELinux 規(guī)則數(shù)量就更加煩瑣，如果每個規(guī)則都需要管理員手工設(shè)定，那么 SELinux 的可用性就會極低。還好我們不用手工定義規(guī)則，SELinux 默認(rèn)定義了兩個策略，規(guī)則都已經(jīng)在這兩個策略中寫好了，默認(rèn)只要調(diào)用策略就可以正常使用了。這兩個默認(rèn)策略如下：

• -targeted：這是 SELinux 的默認(rèn)策略，這個策略主要是限制網(wǎng)絡(luò)服務(wù)的，對本機(jī)系統(tǒng)的限制極少。我們使用這個策略已經(jīng)足夠了。

• -mls：多級安全保護(hù)策略，這個策略限制得更為嚴(yán)格。

4、安全上下文（Security Context）：每個進(jìn)程、文件和目錄都有自己的安全上下文，進(jìn)程具體是否能夠訪問文件或目錄，就要看這個安全上下文是否匹配。如果進(jìn)程的安全上下文和文件或目錄的安全上下文能夠匹配，則該進(jìn)程可以訪問這個文件或目錄。當(dāng)然，判斷進(jìn)程的安全上下文和文件或目錄的安全上下文是否匹配，則需要依靠策略中的規(guī)則。舉個例子，我們需要找對象，男人可以看作主體，女人就是目標(biāo)了。而男人是否可以追到女人（主體是否可以訪問目標(biāo)），主要看兩個人的性格是否合適（主體和目標(biāo)的安全上下文是否匹配）。不過，兩個人的性格是否合適，是需要靠生活習(xí)慣、為人處世、家庭環(huán)境等具體的條件來進(jìn)行判斷的（安全上下文是否匹配是需要通過策略中的規(guī)則來確定的）。

SELinux 的工作模式

SELinux 提供了 3 種工作模式：Disabled、Permissive 和 Enforcing，而每種模式都為 Linux 系統(tǒng)安全提供了不同的好處。

1、Disable工作模式（關(guān)閉模式）

在 Disable 模式中，SELinux 被關(guān)閉，默認(rèn)的 DAC 訪問控制方式被使用。對于那些不需要增強(qiáng)安全性的環(huán)境來說，該模式是非常有用的。

例如，若從你的角度看正在運(yùn)行的應(yīng)用程序工作正常，但是卻產(chǎn)生了大量的 SELinux AVC 拒絕消息，最終可能會填滿日志文件，從而導(dǎo)致系統(tǒng)無法使用。在這種情況下，最直接的解決方法就是禁用 SELinux，當(dāng)然，你也可以在應(yīng)用程序所訪問的文件上設(shè)置正確的安全上下文。

需要注意的是，在禁用 SELinux 之前，需要考慮一下是否可能會在系統(tǒng)上再次使用 SELinux，如果決定以后將其設(shè)置為 Enforcing 或 Permissive，那么當(dāng)下次重啟系統(tǒng)時，系統(tǒng)將會通過一個自動 SELinux 文件重新進(jìn)程標(biāo)記。

關(guān)閉 SELinux 的方式也很簡單，只需編輯配置文件 /etc/selinux/config，并將文本中 SELINUX= 更改為 SELINUX=disabled 即可，重啟系統(tǒng)后，SELinux 就被禁用了。

2、Permissive工作模式（寬容模式）

在 Permissive 模式中，SELinux 被啟用，但安全策略規(guī)則并沒有被強(qiáng)制執(zhí)行。當(dāng)安全策略規(guī)則應(yīng)該拒絕訪問時，訪問仍然被允許。然而，此時會向日志文件發(fā)送一條消息，表示該訪問應(yīng)該被拒絕。

SELinux Permissive 模式主要用于以下幾種情況：

審核當(dāng)前的 SELinux 策略規(guī)則；

測試新應(yīng)用程序，看看將 SELinux 策略規(guī)則應(yīng)用到這些程序時會有什么效果；

解決某一特定服務(wù)或應(yīng)用程序在 SELinux 下不再正常工作的故障。

某些情況下，可使用 audit2allow 命令來讀取 SELinux 審核日志并生成新的 SELinux 規(guī)則，從而有選擇性地允許被拒絕的行為，而這也是一種在不禁用 SELinux 的情況下，讓應(yīng)用程序在 Linux 系統(tǒng)上工作的快速方法。

3、Enforcing工作模式（強(qiáng)制模式）

從此模式的名稱就可以看出，在 Enforcing 模式中， SELinux 被啟動，并強(qiáng)制執(zhí)行所有的安全策略規(guī)則。