SELinux是什麼

導讀：SELinux(Security-Enhanced Linux) 是美國國家安全局(NSA)對於強制訪問控制的實現，是 Linux® 上最傑出的新安全子系統。NSA是在Linux社區的幫助下開發了一種訪問控制體系，在這種訪問控制體系的限制下，進程只能訪問那些在他的任務中所需要文件。SELinux 默認安裝在 Fedora 和 Red Hat Enterprise Linux 上，也可以作為其他發行版上容易安裝的包得到。

　　概述

SELinux 是 2.6 版本的 Linux 內核中提供的強制訪問控制 (MAC)系統。對於目前可用的 Linux 安全模塊來説，SELinux 是功能最全面，而且測試最充分的，它是在 20 年的 MAC 研究基礎上建立的。SELinux 在類型強制服務器中合併了多級安全性或一種可選的多類策略，並採用了基於角色的訪問控制概念。

大部分使用 SELinux 的人使用的都是 SELinux 就緒的發行版，例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian 或 Gentoo。它們都是在內核中啟用 SELinux 的，並且提供一個可定製的安全策略，還提供很多用户層的庫和工具，它們都可以使用 SELinux 的功能。

SELinux是一種基於 域-類型 模型(domain-type)的強制訪問控制(MAC)安全系統，它由NSA編寫並設計成內核模塊包含到內核中，相應的某些安全相關的應用也被打了SELinux的補丁，最後還有一個相應的安全策略。

眾所周知，標準的UNIX安全模型是"任意的訪問控制"DAC。就是説，任何程序對其資源享有完全的控制權。假設某個程序打算把含有潛在重要信息的文件扔到/tmp目錄下，那麼在DAC情況下沒人能阻止他!

而MAC情況下的安全策略完全控制着對所有資源的訪問。這是MAC和DAC本質的區別。

SELinux提供了比傳統的UNIX權限更好的訪問控制。

　　背景

SELinux是「Security-Enhanced Linux」的簡稱，是美國國家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)開發的 Linux的一個擴張強制訪問控制安全模塊。原先是在Fluke上開發的，2000年以 GNU GPL 發佈。

現在以Linux作為因特網服務器是越來越普遍的事了。在我這幾年作過的項目裏，WEB的開發基本都是基於Linux的，這裏有給大公司做的，也給政府部門做的，當然更多的是中小企業做的。這其中給政府做的，我們把SELinux作為一個賣點，接受了不少項目。

　　我們需要安全操作系統的理由

現在不論是政府還是民間企業，大家對信息安全問題是越來越關心了，因為企業的業務平台的服務器上存儲着大量的商務機密，個人資料，個人資料它直接關係到個人的.隱私問題。特別是我們政府的網站，作為信息公開的平台，它的安全就更顯得重要了。這些連到互聯網的服務器，不可避免的要受到來自世界各地的各種威脅。最壞的時候我們的服務器被入侵，主頁文件被替換，機密文件被盜走。除了來自外部的威脅外，內部人員的不法訪問，攻擊也是不可忽視的。對於這些攻擊或者説是威脅，當然有很多的辦法，有防火牆，入侵檢測系統，打補丁等等。因為Linux也和其他的商用UNIX一樣，不斷有各類的安全漏洞被發現。我們對付這些漏洞不得不花很多的人力來堵住它。在這些手段之中，提高OS系統自身的牢固性就顯得非常的重要。