一、SeLinux介绍
SeLinux(Security-Enhanced Linux)是一种基于Linux的安全模块,它提供了一种强制访问控制(MAC)机制。与Linux传统的自主访问控制(Discretionary Access Control, DAC)相比,MAC能够更严格地控制用户和进程对资源的访问,从而增强系统的安全性。
●MAC(强制访问控制Mandatory Access Control)
通过实施一套预定义的安全规则来控制用户和进程对系统资源的访问。也就是说,即使你是 root 用户,当你访问文件资源时,如果使用了不正确的进程,那么也是不能访问这个文件资源的。
●DAC(自主访问控制系统 Discretionary Access Control)
Linux 的默认访问控制方式,它允许资源的所有者(通常是文件或对象的创建者)自主决定谁可以访问这些资源以及访问的权限级别,也就是依据用户的身份和该身份对文件及目录的 rwx 权限来判断是否可以访问。
●主体(Subject):访问者
●客体/目标(Object):被访问者
●客体类别:被访问者代表的类型。例如:客体是文件,目录或者套接字类型
●安全上下文:构成如下【身份字段:角色:类型:等级】。例如 【u:r:foundation:s0】
a.身份字段