SElinux 一.简介 SELinux 全称是 Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的 GPL 项目,它拥有一个灵活而强制性的访问控制结构,旨在提高 Linux系统的安全性,提供强健的安全保证,可防御未知攻击,相当于 B1 级的军事安全性能。比MS NT 的 C2 等高得多。 SELinux 起源于自 1980 开始的微内核和操作系统安全的研究,这两条研究线路最后形成了一个叫做的分布式信任计算机(Distribute Trusted Mach (DTMach))的项目,它融合了早期研究项目的成果(LOCK【锁】,它包含一组安全内核类型强制;Trusted Mach【信任计算机】,它将多层安全控制合并到计算机微内核中)。美国国家安全局的研究组织参加了DTMach 项目,付出了巨大努力,并且继续参与了大量的后续安全微内核项目。最终,这些工作和努力导致了一个新的项目产生,那就是 Flask,它支持更丰富的动态类型的强制机制。 由于不同平台对这这项技术没有广泛使用,NAS 认为需要在大量的社团中展示这个技术,以说明它的持久生命力,并收集广泛的使用支持意见。在 1999 年夏天,NSA 开始在Linux 内核中实现 Flask 安全架构,在 2000 年十二月,NSA 发布了这项研究的第一个公共版本,叫做安全增强的 Linux。因为是在主流的操作系统中实现的,所以 SELinux 开始受到Linux 社区的注意,SELinux 最迟是在 2.2.x 内核中以一套内核补丁的形式发布的。 随着 2001 年 Linux 内核高级会议在加拿大渥太华顺利召开,Linux 安全模型(LSM[7])项目开始为 Linux 内核创建灵活的框架,允许不同的安全扩展添加到 Linux 中。NSA 和SELinux社区是 SELinux的主要贡献者,SELinux帮助 LSM 实现了大量的需求,为了与 LSM一起工作,NSA 开始修改 SELinux 使用 LSM 框架。2002 年八月 LSM 核心特性被集成到Linux 内核主线,同时被合并到 Linux 2.6 内核。2003 年八月,NSA 在开源社区的帮助下,完成了 SELinux 到 LSM 框架的迁移,至此,SELinux 进入 Linux 2.6 内核主线,SELinux已经成为一种全功能的 LSM 模块,包括在核心 Linux 代码集中。 数个Linux发行版开始在2.6内核中不同程度使用SELinux特性,但最主要是靠Red Hat发起的 Fedora Core 项目才使 SELinux 具备企业级应用能力,NSA 和 Red Hat 开始联合集成 SELinux,将其作为 Fedora Core Linux 发行版的一部分。在 Red...
