SELinux（Security-Enhanced Linux）是一個(gè)內(nèi)核級(jí)的安全機(jī)制，旨在提供更加靈活的安全策略定義方式。因此，主流的Linux發(fā)行版都會(huì)集成SELinux機(jī)制，通常需要重新啟動(dòng)系統(tǒng)

SELinux（Security-Enhanced Linux）是一個(gè)內(nèi)核級(jí)的安全機(jī)制，旨在提供更加靈活的安全策略定義方式。因此，主流的Linux發(fā)行版都會(huì)集成SELinux機(jī)制，通常需要重新啟動(dòng)系統(tǒng)來(lái)修改其配置。

SELinux基本概念

1. 域（Domain）：用于限制進(jìn)程的行為范圍。

2. 上下文（Context）：用于限制系統(tǒng)資源（如文件、網(wǎng)絡(luò)套接字、系統(tǒng)調(diào)用等）的訪問(wèn)權(quán)限。通過(guò)命令`ls -Z`和`ps -Z`可以查看文件和進(jìn)程的SELinux上下文信息。

SELinux工作模式

SELinux有三種工作模式：

- Enforcing：強(qiáng)制模式，嚴(yán)格執(zhí)行SELinux策略。

- Permissive：寬容模式，在不拒絕操作的同時(shí)記錄違反策略的行為。

- Disabled：禁用SELinux。可以在`/etc/sysconfig/selinux`中修改SELinux的工作模式。

使用SELinux命令管理權(quán)限

通過(guò)在命令`ps`和`ls`后加上`-Z`參數(shù)，可以顯示對(duì)應(yīng)的SELinux信息。另外，以下兩個(gè)命令可用于管理文件上下文：

- restorecon：恢復(fù)文件默認(rèn)的上下文，語(yǔ)法為`restorecon -R -v /var/www`。

- chcon：修改文件的上下文，例如`chcon --reference `。

定制SELinux策略

SELinux通過(guò)定義策略來(lái)控制哪些域可以訪問(wèn)哪些上下文，只有受到目標(biāo)策略影響的進(jìn)程才會(huì)受限。其他進(jìn)程不受影響，這種策略僅影響網(wǎng)絡(luò)應(yīng)用程序的行為。因此，在配置SELinux時(shí)需謹(jǐn)慎定義策略，以確保系統(tǒng)安全性和靈活性的平衡。