SELinux如何保护系统文件

SELinux通过强制访问控制（MAC）机制保护系统文件，核心原理如下：

1. 安全上下文标记：为每个文件、进程分配包含用户、角色、类型等信息的标签（如文件类型httpd_sys_content_t）。
2. 域-类型匹配检查：进程（主体）访问文件（对象）时，需满足其安全上下文中的域与文件类型匹配，且策略允许该操作（如httpd_t域可访问httpd_sys_content_t类型文件）。
3. 策略规则控制：通过策略定义允许/禁止的访问行为（如allow httpd_t httpd_sys_content_t:file read;），即使root用户也无法违反策略。
4. 工作模式保障：
   • Enforcing模式：强制阻止违规访问并记录日志。
   • Permissive模式：仅记录违规行为，用于调试。
5. 日志与审计：记录未授权访问尝试，通过audit2allow工具分析日志并优化策略。

关键命令示例：

• 查看文件安全上下文：ls -Z /path/to/file
• 临时修改文件类型：chcon -t httpd_sys_content_t /path/to/file
• 永久修改策略：semanage fcontext -a -t httpd_sys_content_t "/path/to/dir(/.*)?"，后执行restorecon -Rv /path/to/dir

通过上述机制，SELinux可防止未授权进程访问敏感文件，即使系统被入侵，攻击者也无法突破策略限制。