SELinux(Security-Enhanced Linux,安全增强型 Linux)是一套集成在 Linux 内核中的强制访问控制(MAC)安全机制,用“安全策略(policy)”来限制进程和用户对文件、端口、设备等资源的访问,从而降低系统被入侵后造成的破坏范围。(常见模式:Enforcing 强制、Permissive 宽容、Disabled 禁用)
/ˌɛs iː ˈlɪnəks/
SELinux is enabled on this server to reduce security risks.
这台服务器启用了 SELinux 来降低安全风险。
Even if a web app is compromised, SELinux policy can prevent it from reading sensitive files outside its allowed context.
即使某个 Web 应用被攻破,SELinux 的策略也能阻止它读取其允许“安全上下文”之外的敏感文件。
SELinux 是 “Security-Enhanced Linux” 的缩写,起源于美国国家安全局(NSA)主导的安全研究与实现,后来并入 Linux 主线内核并被多种发行版采用。它的核心理念是用“默认拒绝 + 明确授权”的策略,把权限控制从“用户/组”的传统模型进一步强化为“主体-客体-规则”的强制约束。
Select Language