摘要：linux 系統中的 SELinux 是什么?SELinux 是（Security-Enhanced Linux）的縮寫，由美國國家安全局（NSA）聯合其它安全機構（比如 SCC 公司）共同開發的，旨在增強傳統 Linux 操作系統的安全性...

linux 系統中的 SELinux 是什么

SELinux 是（Security-Enhanced Linux）的縮寫，由美國國家安全局（NSA）聯合其它安全機構（比如 SCC 公司）共同開發的，旨在增強傳統 Linux 操作系統的安全性，解決傳統 Linux 系統中自主訪問控制（DAC）系統中的各種權限問題（如 root 權限過高等）。

SELinux 是一個 Linux 內核模塊，也是 Linux 的一個安全子系統，主要作用就是最大限度地減小系統中服務進程可訪問的資源（最小權限原則）。

我們可以簡單的理解為它是部署在 Linux 系統上用于增強系統安全的功能模塊。

SELinux的3種工作模式

SELinux 提供了 3 種工作模式，分別是 Disabled 工作模式、Permissive 工作模式和 Enforcing 工作模式。它們的具體介紹如下：

1. Disabled工作模式（關閉模式）

在 Disable 模式中，SELinux 被關閉，使用 DAC 訪問控制方式。該模式對于那些不需要增強安全性的環境來說是非常有用的。

注意，在禁用 SELinux 之前，需要考慮一下是否可能會在系統上再次使用SELinux，如果決定以后將其設置為Enforcing或Permissive，那么當下次重啟系統時，系統將會通過一個自動SELinux文件重新進行標記。

關閉 SELinux 的方式:

臨時關閉：使用命令 setenforce 0
永久關閉：修改/etc/selinux/config文件將 SELINUX=enforcing 改為 SELINUX=disabled，重新啟動系統即可

2. Permissive工作模式（寬容模式）

在 Permissive 模式中，SELinux 被啟用，但安全策略規則并沒有被強制執行。當安全策略規則應該拒絕訪問時，訪問仍然被允許。這時會向日志文件發送一條該訪問應該被拒絕的消息。

SELinux Permissive 模式主要用于審核當前的 SELinux 策略規則；它還能用于測試新應用程序，將 SELinux 策略規則應用到程序時會有什么效果；以及用于解決某一特定服務或應用程序在 SELinux 下不再正常工作的故障。

3. Enforcing工作模式（強制模式）

在 Enforcing 模式中，SELinux 被啟動，并強制執行所有的安全策略規則，舉個例子，比如某個文件，盡管設置了777權限，但是我們還是無法修改，提示權限不足，這時候就需要關閉 SELinux 模式了。