我们知道,传统的 Linux 系统安全,采用的是 DAC(自主访问控制方式),而 SELinux 是部署在 Linux 系统中的安全增强功能模块,它通过对进程和文件资源采用 MAC(强制访问控制方式)为 Linux 系统提供了改进的安全性。

需要注意的是,SELinux 的 MAC 并不会完全取代 DAC,恰恰相反,对于 Linux 系统安全来说,它是一个额外的安全层,换句话说,当使用 SELinux 时,DAC 仍然被使用,且会首先被使用,如果允许访问,再使用 SELinux 策略;反之,如果 DAC 规则拒绝访问,则根本无需使用 SELinux 策略。

例如,若用户尝试对没有执行权限(rw-)的文件进行执行操作,那么传统的 DAC 规则就会拒绝用户访问,因此,也就无需再使用 SELinux 策略。

相比传统的 Linux DAC 安全控制方式,SELinux 具有诸多好处,比如说:

  • 它使用的是 MAC 控制方式,这被认为是最强的访问控制方式;
  • 它赋予了主体(用户或进程)最小的访问特权,这也就意味着,每个主体仅被赋予了完成相关任务所必须的一组有限的权限。通过赋予最小访问特权,可以防止主体对其他用户或进程产生不利的影响;
  • SELinux 管理过程中,每个进程都有自己的运行区域(称为域),各进程仅运行在自己的域内,无法访问其他进程和文件,除非

SELinux系列(二)——SELinux有什么作用相关推荐

  1. SELinux系列(四)——SELinux配置文件(/etc/selinux/config)详解

    我们知道,SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能.然而,一般来说,预先配置的 SELinux 设置很难满足所有的 Linux 系统安全需求. SELi ...

  2. SELinux系列(一)——SELinux是什么

    SELinux,Security Enhanced Linux 的缩写,也就是安全强化的 Linux,是由美国国家安全局(NSA)联合其他安全机构(比如 SCC 公司)共同开发的,旨在增强传统 Lin ...

  3. Linux快速入手系列二( 文本处理 )

    更多精彩文章点击 -> 我的学习小站 & 更多好玩点击 -> 技术杂谈 文本编辑神器-Vim vim的三种操作模式 vim有三种操作模式,分别是命令模式(Command mode) ...

  4. xen虚拟化实战系列(二)之xen虚拟机安装

    xen虚拟化实战系列文章列表 xen虚拟化实战系列(一)之xen虚拟化环境安装 xen虚拟化实战系列(二)之xen虚拟机安装 xen虚拟化实战系列(三)之xen虚拟机复制 xen虚拟化实战系列(四)之 ...

  5. 【C++自我精讲】基础系列二 const

    [C++自我精讲]基础系列二 const 0 前言 分三部分:const用法.const和#define比较.const作用. 1 const用法 const常量:const可以用来定义常量,不可改变 ...

  6. 【Android 逆向】selinux 进程保护 ( selinux 进程保护 | 宽容模式 Permissive | 强制模式 Enforcing )

    文章目录 一.selinux 进程保护 二.宽容模式与强制模式 一.selinux 进程保护 selinux 进程保护 一旦开启后 , 其它进程不能调试指定的进程 ; Android 5.0 及之后的 ...

  7. JAVA面试常考系列二

    转载自 JAVA面试常考系列二 题目一 解释一下线程和进程 进程是具有一定独立功能的程序关于某个数据集合上的一次运行活动,进程是系统进行资源分配和调度的一个独立单位. 线程是进程的一个实体,是CPU调 ...

  8. ONNX系列二 --- 使用ONNX使Keras模型可移植

    目录 Keras简介 快速浏览模型 安装和导入转换器 将Keras模型转换为ONNX 摘要和后续步骤 参考文献 下载源547.1 KB 系列文章列表如下: ONNX系列一 --- 带有ONNX的便携式 ...

  9. Silverlight Blend动画设计系列二:旋转动画(RotateTransform)

    原文:Silverlight & Blend动画设计系列二:旋转动画(RotateTransform) Silverlight的基础动画包括偏移.旋转.缩放.倾斜和翻转动画,这些基础动画毫无疑 ...

  10. Wireshark入门与进阶系列(二)

    摘自http://blog.csdn.net/howeverpf/article/details/40743705 Wireshark入门与进阶系列(二) "君子生非异也,善假于物也&quo ...

最新文章

  1. 设置windows引导linux分区,windows下安装grub引导Linux
  2. SDWebImage之工具类
  3. ubuntu 的chmod 和 chown
  4. [原]tornado 源码分析系列目录
  5. 2021-09-07218. 天际线问题
  6. linux 更新系统命令,Linux系统自动更新时间命令的详细说明
  7. Matlab plot3显示成平面图像
  8. 微型计算机8086工作原理,8086到80486微型计算机系统原理与接口
  9. java毕业设计成品SpringBoot+VUE实现的电影院会员积分管理系统
  10. 318. 最大单词长度乘积【我亦无他唯手熟尔】
  11. 花飞花落花飘谢,红绡香断有谁怜!
  12. 计算机的桌面图标都可以重新命名对吗,windows上哪个图标不能重命名
  13. 【windows】设置远程桌面连接?多用户登录设置?取消登录密码
  14. git cz: Missing script: “test“ To see a list of scripts, run: npm run
  15. ContentPane
  16. 详细介绍OAuth2.0及实现和SpringSecurity的整合应用
  17. 各大公司大数据面试题
  18. NodeJS实现视频转码
  19. C++重学之路 5 控制语句和逻辑运算符
  20. 分子生物学词汇(C)

热门文章

  1. 如何看待夸克,酷狗概念版等简洁型软件?
  2. Speaking of the impact of the epidemic
  3. 关于几个BeanPostProcessor各个回调的时机
  4. 源码编译wget问题解决
  5. 使用trycatch获取异常问题
  6. sql初学者指南_使用tSQLt框架SQL单元测试面向初学者
  7. 【学习笔记】深入理解js原型和闭包(9)—— 简述【执行上下文】下
  8. java-DateFormat
  9. JQuery获取第几个元素和判断元素在第几个
  10. 查看日志tail命令