selinux:由美國國家安全局開發的,security enhanced linux的縮寫。
傳統的文件權限與賬號關系:自主訪問控制 DAC,就是一句進程的所有者與文件資源的rwx權限來決定有無訪問能力
這種DAC的缺點:root具有最高權限,可以在系統上進行任何資源的訪問;用戶可取得進程來更改文件資源的訪問權限。
以策略規則制定特定程序讀取特定文件:強制訪問控制 MAC
可以針對特定的進程與特定的文件資源來進行權限的控制,也就說即使是root,在使用不同進程時,所能取得的權限不一定是root,而得看進程的設置而定。如此,針對控制的主題變成了進程而不是用戶。
selinux的運行模式:
主體:也就是進程
目標:文件系統
策略:依據某些服務來制定基本的訪問安全策略。
安全上下文:主體能否訪問目標,除了策略指定之外,主體和目標的安全上下文必須一致才能夠順利訪問。類似於文件系統的rwx。
