理解SElinux

1.传统的权限使用读、写和执行的方式控制着用户对资源（文件及目录）的访问。

2.selinux使用selinux用户、角色、类型和级别控制进程对资源（文件及目录）的访问。

SElinux属性格式：

SElinux  User:Role:Type:Level

3.在支持SElinux的Linux系统中，用户有系统用户和SElinux用户之分，

SElinux用户是SElinux策略的要素，与linux系统的用户存在一种映射关系。

每个linux用户可以映射为一个selinux用户，查看他们之间的映射使用命令：

semanage

selinux策略定义了大量受限制的SElinux用户，linux用户可以映射到受限制的SElinux用户：例如

映射为SElinux用户的user_u的linux用户通常不能运行setuid程序，也不能运行su或sudo命令，

从而防止用户轻易获取root权限。

4.所有的进程与文件都有一个类型标记，

类型定义了进程的作用域和文件的访问访问，从而隔离进程的运行空间。

5.

查看所有活动进程的SElinux属性的命令：

ps -eZ

查看linux用户的SElinux属性的命令：

id -Z

查看文件的SElinux使用命令：

ls -Z 文件

6.针对主体（进程）的访问决策需要考虑所有的SElinux属性，

针对对象（文件及目录）的访问决策也需要考虑所有的SElinux；

在类型强制的SElinux环境中，所有主体和对象都有一个类型，

利用类型实行SElinux策略的强制规则，

因此有时很难区分主体（进程）和对象（文件）；

为了区别进程及文件一般把进程类型的类型称为域。