selinux的作用？

selinux
     SELinux - NSA Security-Enhanced Linux (SELinux)

[root@lb-1 nongda]# getenforce   查看selinux安全机制是否开启
Disabled

永久修改selinux策略为disabled --> 禁用selinux安全机制
[root@sanchuang ~]# vim /etc/selinux/config
SELINUX=disabled

[root@sanchuang ~]# reboot 重新启动生效
[root@sanchuang ~]# getenforce
Disabled

临时调整selinux安全策略
[root@sanchuang ~]# setenforce 0  临时关闭
[root@sanchuang ~]# getenforce
Permissive
[root@sanchuang ~]# setenforce 1  临时启用
[root@sanchuang ~]# getenforce
Enforcing

 

SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC）系统。

在使用了 SELinux 的操作系统中，决定一个资源是否能被访问的因素除了上述因素之外，还需要判断每一类进程是否拥有对某一类资源的访问权限。

这样一来，即使进程是以 root 身份运行的，也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。

即使是以 root 身份运行的服务进程，一般也只能访问到它所需要的资源。即使程序出了漏洞，影响范围也只有在其允许访问的资源范围内。安全性大大增加。

这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。

 

selinux的特点：

SELinux系统比起通常的Linux系统来，安全性能要高的多，它通过对于用户，进程权限的最小化，即使受到攻击，进程或者用户权限被夺去，也不会对整个系统造成重大影响。

对访问的控制彻底化

特点1：MAC(Mandatory Access Control）―――对访问的控制彻底化

对于所有的文件，目录，端口这类的资源的访问，都可以是基于策略设定的，这些策略是由管理员定制的、一般用户是没有权限更改的。

对于进程只赋予最小的权限

特点2：TE （Type Enforcement）――― 对于进程只赋予最小的权限

Te概念在 SELinux里非常的重要。它的特点是对所有的文件都赋予一个叫type的文件类型标签，对于所有的进程也赋予各自的一个叫 domain的 标签。Domain标签能够执行的操作也是由access vector在策略里定好的。

我们熟悉的apache服务器，httpd进程只能在httpd_t 里运行，这个httpd_t 的domain能执行的操作，比如能读网页内容文件赋予httpd_sys_content_t，密码文件赋予shadow_t,TCP的80端口赋予 http_port_t等等。如果在access vector里我们不允许 http_t来对http_port_t进行操作的话，Apache启动都启动不了。反过来说，我们只允许80端口，只允许读取被标为 httpd_sys_content_t的文件，httpd_t就不能用别的端口，也不能更改那些被标为httpd_sys_content_t的文件（read only）。

 

摘自百度搜索