SELinux在CentOS中的核心角色
SELinux(Security-Enhanced Linux)是CentOS系统中内核级的强制访问控制(MAC)安全子系统,旨在通过严格的权限管控机制,解决传统自主访问控制(DAC)下“root用户权限过大”“单一进程漏洞导致系统沦陷”等安全隐患,为系统提供分层、细粒度的安全防护。
SELinux摒弃了传统Linux系统中“用户+权限”的DAC模式,采用“主体(进程)-对象(资源)+ 安全策略”的MAC架构。即使进程以root身份运行,也必须符合SELinux策略中定义的“进程类型→资源类型”访问规则,才能操作目标资源(如文件、端口)。这种机制将进程的活动范围限制在“最小必要权限”内,大幅降低了单点漏洞的扩散风险。
SELinux通过预定义策略(如CentOS默认的targeted策略)对系统资源进行分类管控。targeted策略主要针对网络服务进程(如Apache、MySQL),限制其对系统关键目录(如/root、/etc)、端口(如80、443)及其他资源的访问;更严格的mls策略(多级安全)则适用于对安全性要求极高的场景(如政府、金融)。策略规则细化到“进程能否读/写某类文件”“能否绑定某端口”等具体操作,确保资源访问的合法性。
SELinux具备完善的日志记录功能,会将所有违反策略的操作(如进程试图访问未授权文件)记录到/var/log/audit/audit.log(审计日志)和/var/log/messages(系统日志)中。系统管理员可通过ausearch、grep等工具分析日志,快速定位安全事件的源头(如恶意软件、配置错误),并为事件调查提供不可篡改的证据,满足等保、GDPR等合规性要求。
SELinux支持三种工作模式,满足不同场景的需求:
semanage、chcon等工具调整资源的安全上下文(如将/var/www/html目录的上下文设置为httpd_sys_content_t,允许Apache访问),或通过audit2allow工具从日志中生成自定义策略,解决应用程序的“SELinux兼容性问题”。