如何设置SElinux？

SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是 MAC (Mandatory Access Control，强制访问控制系统)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品，在用途上也不重复。

1. DAC（Discretionary Access Control，自主访问控制）

① DAC是传统的Linux的访问控制方式，DAC可以对文件、文件夹、共享资源等进行访问控制。

② 在DAC这种模型中，文件客体的所有者（或者管理员）负责管理访问控制。

③ DAC使用了ACL（Access Control List，访问控制列表）来给非管理者用户提供不同的权限，而root用户对文件系统有完全自由的控制权。

2. MAC（Mandatory Access Control，强制访问控制）

① SELinux在内核中使用MAC检查 *** 作是否允许。

② 在MAC这种模型中，系统管理员管理负责访问控制，用户不能直接改变强制访问控制属性。

③MAC可以定义所有的进程（称为主体）对系统的其他部分（文件、设备、socket、端口和其它进程等，称为客体）进行 *** 作的权限或许可。

3. DAC和MAC的其它区别

① DAC的主体是真实有效的用户和组ID，MAC的主体是安全上下文，两者的UID是各自独立的。

② DAC的访问控制模式是rwxrwxrwx，MAC的访问控制模式是user:role:type。

---