一、SELinux簡介

RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在于集成了SELinux的支持。

SELinux的全稱是Security-Enhanced Linux，是由美國國家安全局NSA開發的訪問控制體制。

SELinux可以最大限度地保證Linux系統的安全。至于它的作用到底有多大，舉一個簡單的例子可以證明：

沒有SELinux保護的Linux的安全級別和Windows一樣，是C2級，但經過保護SELinux保護的Linux，安全級別

則可以達到B1級。如：我們把/tmp目錄下的所有文件和目錄權限設置為0777，這樣在沒有SELinux保護的情

況下，任何人都可以訪問/tmp 下的內容。而在SELinux環境下，盡管目錄權限允許你訪問/tmp下的內容，

但SELinux的安全策略會繼續檢查你是否可以訪問。

NSA推出的SELinux安全體系結構稱為 Flask，在這一結構中，安全性策略的邏輯和通用接口一起封裝在與

操作系統獨立的組件中，這個單獨的組件稱為安全服務器。SELinux的安全服務器定義了一種混合的安全性

策略，由類型實施 (TE)、基于角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全服務器，可

以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過checkpolicy 編譯成二進制形

式，存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中，在內核引導時讀到內核空間

。這意味著安全性策略在每次系統引導時都會有所不同。

SELinux的策略分為兩種，一個是目標(targeted)策略，另一個是嚴格(strict)策略。有限策略僅針對部分

系統網絡服務和進程執行SELinux策略，而嚴厲策略是執行全局的NSA默認策略。有限策略模式下，9個（可

能更多）系統服務受SELinux監控，幾乎所有的網絡服務都受控。

配置文件是/etc/selinux/config，一般測試過程中使用“permissive”模式，這樣僅會在違反SELinux規

則時發出警告，然后修改規則，最后由用戶覺得是否執行嚴格“enforcing”的策略，禁止違反規則策略的

行為。

規則決定SELinux的工作行為和方式，策略決定具體的安全細節如文件系統，文件一致性。

在安裝過程中，可以選擇“激活”、“警告”或者“關閉”SELinux。默認設置為“激活”。

安裝之后，可以在“應用程序”-->“系統設置”-->“安全級別”，或者直接在控制臺窗口輸入“system