SELinux初探在进入了CentOS5.x之后，SELinux已经是个非常完备的核心模块了！CentOS5.x提供了很多管理SELinux的指令与机制，因此在整体架构上面比以前的版本要单纯且容易操作管理！所以，在这一版以后，我们建议大家千万不要关掉SELinux这玩意儿！让我们来仔细的玩玩这家伙吧！什么是SELinux什么是SELinux呢？其实他是『SecurityEnhancedLinux』的缩写，字面上的意义就是安全强化的Linux之意！那么所谓的『安全强化』是强化哪个部分？是网络资源还是权限管理？底下就让我们来谈谈吧！?当初设计的目标：避免资源的误用SELinux是由美国国家安全局(NSA)开发的，当初开发这玩意儿的目的是因为很多企业界发现，通常系统出现问题的原因大部分都在于『内部员工的资源误用』所导致的，实际由外部发动的攻击反而没有饷囱现亍?那么什么是『员工资源误用』呢？举例来说，如果有个不是很懂系统的系统管理员为了自己设定的方便，将网页所在目录/var/www/html/的权限设定为drwxrwxrwx时，你觉得会有什么事情发生？现在我们知道所有的系统资源都是透过程序来进行存取的，那么/var/www/html/如果设定为777，代表所有程序均可对该目录存取，万一你真的有启动WWW服务器软件，那么该软件所触发的程序将可以写入该目录，而该程序却是对整个Internet提供服务的！只要有心人接触到这支程序，而且该程序刚好又有提供用户进行写入的功能，那么外部的人很可能就会对你的系统写入些莫名其妙的东西！那可真是不得了！一个小小的777问题可是大大的！为了控管这方面的权限与程序的问题，所以美国国家安全局就着手处理操作系统这方面的控管。由于Linux是自由软件，程序代码都是公开的，因此她们便使用Linux来作为研究的目标，最后更将研究的结果整合到Linux核心里面去，那就是SELinux啦！所以说，SELinux是整合到核心的一个模块喔！更多的SELinux相关说明可以参考：?http://www.nsa.gov/research/selinux/这也就是说：其实SELinux是在进行程序、文件等细部权限设定依据的一个核心模块！由于启动网络服务的也是程序，因此刚好也能够控制网络服务能否存取系统资源的一道关卡！所以，在讲到SELinux对系统的访问控制之前，我们得先来回顾一下之前谈到的系统文件权限与用户之间的关系。因为先谈完这个你才会知道为何需要SELinux的啦！?传统的文件权限与账号关系：自主式访问控制,DAC我们第十四章的内容，知道系统的账号主要分为系统管理员(root)与一般用户，而这两种身份能否使用系统上面的文件资源则与rwx的权限设定有关。不过你要注意的是，各种权限设定对root是无效的。因此，当某个程序想要对文件进行存取时，系统就会根据该程序的拥有者/群组，并比对文件的权限，若通过权限检查，就可以存取该文件了。这种存取文件系统的方式被称为『自主式访问控制(DiscretionaryAccessControl,DAC)』基本上，，就是依据程序的拥有者与文件资源的rwx权限来决定有无存取的能力。不过这种DAC的访问控制有几个困扰，那就是：?root具有最高的权限：如果不小心某支程序被有心人士取得，且该程序属于root的权限，那么这支程序就可以在系统上进行任何资源的存取！真是要命！?用户可以取得程序来变更文件资源的访问权限：如果你不小心将某个目录的权限设定为777，由于对任何人的权限会变成rwx，因此该目录就会被任何人所任意存取！这些问题是非常严重的！尤其是当你的系统是被某些漫不经心的系统管理员所掌控时！她们甚至觉得目录权限调为777也没有什么了不起的危险哩…?以政策规则订定特定程序读取特定文件：委任式访问控制,MAC现在我们知道DAC的困扰就是当用户取得程序后，他可以藉由这支程序与自己默认的权限来处理他自己的文件资源。万一这个用户对Linux系统不熟，那就很可能会有资源误用的问题产生。为了避免DAC容易发生的问题，因此SELinux导入了委任式访问控制(MandatoryAccessControl,MAC)的方法！委任式访问控制(MAC)有趣啦！他可以针对特定的程序与特定的文件资源来进行权限的控管！也就是说，即使你是root，那么在使用不同的程序时，你所能取得的权限并不一定是root，而得要看当时该程序的设定而定。如此一来，我们针对控制的『主体』变成了『程序』而不是用户喔！此外，这个主体程序也不能任意使用系统文件资源，因为每个文件资源也有针对该主体程序设定可取用的权限！如此一来，控件目就细的多了！但整个系统程序那么多、文件那么多，一项一项控制可