使用增强安全性的Linux（SELinux）

崔凯

增强安全性的Linux（SELinux）是美国安全部的一个研发项目，它的目的在于增强开发代码的Linux内核，以提供更强的保护措施，防止一些关于安全方面的应用程序走弯路，减轻恶意软件带来的灾难。
　　
　　普通的Linux 与SELinux相比较
　　
　　普通的Linux系统的安全性是依赖内核的，这个依赖是通过setuid tgid产生的。在传统的安全机制下，暴露了一些应用授权问题、配置问题或进程运行造成整个系统的安全问题。这些问题在现在的操作系统中都存在，这是由于他们的复杂性和与其它程序的互用性造成的。
　　
　　SELinux只单单依赖于系统的内核和安全配置政策。一旦你正确配置了系统，不正常的应用程序配置或错误将只返回错误给用户的程序和它的系统后台程序。其它用户程序的安全性和他们的后台程序仍然可以正常运行，并保持着它们的安全系统结构。
　　
　　用简单一点的话说就是：没有任何的程序配置错误可以造成整个系统的崩溃。
　　
　　安装SELinux SELinux的内核、工具、程序/工具包，还有文档都可以到增强安全性的Linux网站上上下载你必须有一个已经存在的Linux系统来编译你的新内核，这样才能访问没有更改的系统补丁包。
　　
　　开发者使用红帽Linux来测试目前的这个版本。这个Linux和目前的Linux应用程序非常兼容，并且它包含了一个考虑到安全问题的系统调用。
　　
　　另外，你可以编译这个内核，使它在允许的状态下运行。这个模式允许审计安全配置政策，并决定安装用户应用程序和系统操作所需要的许可。你不需要重新安装系统，可以随时通过改变这个操作的模式来增强系统的功能。
　　
　　为什么要使用SELinux? 最好的使用SELinux的原因就是，它可以增强访问控制来限制用户程序访问的最低权限。
　　
　　其它好的改进是：
　　
　　对内核对象和服务的访问控制 对进程初始化、继承和程序执行的访问控制 对文件系统、目录、文件和打开文件描述的访问控制 对端口、信息和网络接口的访问控制。 最后的思考 SELinux减少了防止系统崩溃所需要调整的用户和系统程序。你现在就可以使用补丁包升级Linux，使它符合你的计划需要。
　　
　　因为SELinux目前仍然是一个开发项目，NSA并没有向用户推荐使用这个系统来保存比较重要的信息。但是，在去年，我曾经运行过SELinux，并没有遇到过任何的系统崩溃情况。
　　
　　是否好用，由你自己测试、自己决定。它是免费的，而且非常好用！