SELinux简介：Linux内核安全与访问控制管理.pdfVIP

虽然SELinux已在Linux内核中存在了近十年，但至今仍有很多管理员由于担心其配置

的复杂性而弃之不用。虽然许多Linux管理员在他们的Linux服务器中禁用SELinux来避免

在安装应用程序时对它进行配置，但在Linux安全性方面SELinux是一个非常有用的工具。

下面让我们了解一下它的工作原理，用SELinux策略和控制的管理方式来保护你的

Linux服务器吧。

在Linux操作系统中，SELinux实现了强制控制(MAC)的安全模式。在的Linux

环境中开启了自由控制(DAC)后，这一机制就会在Linux内核中对所有操作的安全性进

行检查。

理解DAC和MAC的Linux安全模型

由于SELinux以MAC为基础，所以了解DAC(默认的Linux安全模型)的不足以及MAC相

对于DAC的优势就变得非常重要。

在MAC模式下，管理员控制了系统中软件的所有交互行为。采用了最小方式后，默

认情况下应用程序和用户没有任何权限，因为作为系统安全策略的一部分，所有的权限都必

须由管理员授予。在DAC模式下，文件所有权在用户，且该用户对它们有完全的控制权限。

们用户帐户后，便可以对该用户拥有的文件做任何事情。例如，