SELinux 初探

SELinux：Security Enhanced Linux。SELinux 是 NSA（美国国家安全局）开发设计，整合到 Linux 内核中的一个模块。

0. 基本概念

• DAC（Discretionary Access Control），自主访问控制，传统的文件权限和账号关系；

  系统账号主要分为系统管理员（root）与一般用户，这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此，当某个进程想要对文件进行访问时，系统就会根据该进程的所有者、用户组，并比较文件的权限，若通过权限检查，就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”（DAC），基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。

• MAC（Mandatory Access Control），强制（委托）访问控制，以策略规则制定特定程序读取特定文件；

  MAC 可以针对特定的进程与特定的文件资源来进行权限的控制，即使是 root，在使用不同的进程时，所能取得的权限不一定是 root，而是要看当时该进程的设置而定。如此一来，我们针对控制的“主体”编程了“进程”而不是“用户”。

1. SELinux 的运行模式

SELinux 通过 MAC 的方式来控管进程，其控制的主体（subject）是进程，而目标（object）则是该进程能否读取的“文件资源”，即其重点在于主体如何取得目标的资源访问权限。

2. SELinux 的启动、关闭与查看

并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux，因 SELinux 是一种 linux 内核模块，因此无需自行编译 SELinux 到 Linux 内核中。

# getenforce
Enforcing
            # SELinux 支持三种模式，分别如下：
                enforcing：强制模式，代表 SELinux 正在运行中，已经开始限制 domain（主体程序，subject）/type（文件资源 object） 了
                permissive：容许模式，代表 SELinux 正在运行中，不过仅会有警告信息并不会实际限制 domain/type 的访问，用于 SELinux 的调试；
                disabled：SELinux 未运行；
# sestatus
            # 列出目前的 SELinux 的策略（policy）
# vim /etc/selinux/config   # selinux 配置文件
            SELINUX=enforcing，调整 enforcing|permissive|disabled
            SELINUXTYPE=targeted，目前仅有 targeted 与 strict