centos selinux功能有哪些

1. 强制访问控制（MAC）
SELinux通过**强制访问控制（MAC）**机制，突破传统Linux“自主访问控制（DAC）”的限制，由内核强制实施安全规则，限制进程和用户对系统资源（文件、端口、设备等）的访问行为，即使root用户也无法绕过SELinux的限制。

2. 安全策略（Policy）
SELinux采用预定义策略（如targeted、strict、mls）定义进程与资源的访问规则。其中，targeted是CentOS默认策略，仅保护常见网络服务（如httpd、mysqld），对本机系统限制极少；strict对所有进程进行严格控制；mls提供多级安全保护（如分级信息访问），适用于高安全需求场景。

3. 安全上下文（Security Context）
每个进程（域，Domain）、文件/目录、端口等对象均关联安全上下文（格式：用户:角色:类型:级别，如unconfined_u:unconfined_r:unconfined_t:s0）。SELinux通过比对进程域与资源上下文的“类型”（Type）字段，决定是否允许访问，是MAC机制的核心判断依据。

4. 类型强制（TE，Type Enforcement）
类型强制是SELinux的关键技术，通过为进程分配“域”（Domain）、为资源分配“类型”（Type），并定义域与类型之间的访问规则（如“httpd_t类型的进程能否读写/var/www/html/t类型的文件”），实现对进程行为的精准约束，防止进程越权访问资源。

5. 审计与监控
SELinux会记录所有违反安全策略的访问尝试（如进程试图访问未授权的文件），日志存储在/var/log/audit/audit.log中。管理员可通过ausearch（查看拒绝事件）、aureport（生成统计报告）等工具分析日志，快速定位安全问题。

6. 多工作模式
SELinux支持三种运行模式，适配不同安全需求：

• Enforcing（强制模式）：默认模式，强制执行安全策略，拦截违规行为并记录日志；
• Permissive（宽容模式）：仅记录违规行为，不拦截，用于调试SELinux策略；
• Disabled（禁用模式）：完全关闭SELinux，恢复传统DAC控制，降低系统安全性。

7. 策略自定义与布尔值配置
管理员可通过工具自定义SELinux策略：

• audit2allow：从audit.log中提取拒绝事件，生成自定义策略模块（.pp文件），解决特定应用的SELinux问题（如允许httpd访问自定义端口）；
• semanage：管理SELinux布尔值（开关选项），如setsebool -P httpd_can_network_connect 1允许httpd发起网络连接；
• semodule：安装、删除或列出自定义策略模块。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！