CentOS中SELinux默认强制(Enforcing)模式,核心原因是通过内核级强制访问控制(MAC)增强系统安全性,具体体现在:
- 最小权限原则:严格限制进程仅能访问策略允许的资源(如文件、网络端口),即使进程以root身份运行,违规操作也会被阻止。
- 防御0-Day漏洞:当系统存在未修复的漏洞时,SELinux可通过策略阻断攻击路径。例如,限制Apache进程仅能访问其配置目录,防止通过漏洞访问敏感文件(如
/etc/passwd)。
- 细粒度权限控制:基于安全上下文(用户、角色、类型)精确匹配主体(进程)与客体(资源)的访问权限,避免粗粒度权限(如传统Linux DAC)导致的过度开放。
- 合规性与审计:满足等保等安全合规要求,记录所有访问行为,便于追踪异常操作。
注:若需临时关闭强制模式,可执行setenforce 0,但永久修改需编辑/etc/selinux/config文件。