SELinux如何防止越权访问

SELinux通过强制访问控制（MAC）防止越权访问，核心机制如下：

1. 安全上下文标记
   为进程、文件、端口等对象分配包含用户、角色、类型的安全标签（如httpd_t进程、httpd_sys_content_t文件类型），作为访问控制的基础。
2. 策略规则匹配
   通过预定义策略（如targeted策略）规定主体（进程）与客体（资源）的访问权限，例如“允许httpd_t进程读取httpd_sys_content_t类型的文件”，策略规则优先于传统DAC权限。
3. 访问控制流程
   进程访问资源时，先检查DAC权限，再通过SELinux验证上下文是否符合策略：
   • 若策略允许，允许访问；
   • 若策略拒绝，直接拦截并记录审计日志（如/var/log/audit/audit.log）。
4. 最小权限原则
   默认拒绝所有未明确允许的操作，仅开放必要权限，避免进程越权访问敏感资源（如限制Web服务器仅能访问其配置目录）。

关键工具：

• getenforce/setenforce：查看/切换SELinux模式（Enforcing为强制模式，Permissive为仅记录模式）。
• chcon/semanage：临时/永久修改对象的安全上下文。
• audit2allow：分析拒绝日志并生成合规的策略模块。