SELinux是什麼?其主要工作模式都有哪些?

　　SELinux，全稱為Security Enhanced Linux，也就是安全強化的Linux，由美國國家安全域性(NSA)聯合其他安全機構(比如SCC公司)共同開發的，旨在增強傳統Linux作業系統的安全性，解決傳統Linux系統中自主訪問控制(DAC)系統中的各種許可權問題(如root許可權過高等)。

　　SELinux提供了3種工作模式：Disabled、Permissive和Enforcing，而每種模式都為Linux系統安全提供了不同的好處。

　　1、Disable工作模式(關閉模式)

　　在Disable模式中，SELinux被關閉，預設的DAC訪問控制方式被使用。對於那些不需要增強安全性的環境來說，該模式是非常有用的。

　　例如，若從你的角度看正在執行的應用程式工作正常，但是卻產生了大量的SELinux AVC拒絕訊息，最終可能會填滿日誌檔案，從而導致系統無法使用。在這種情況下，最直接的解決方法就是禁用SELinux，當然，你也可以在應用程式所訪問的檔案上設定正確的安全上下文。

　　需要注意的是，在禁用SELinux之前，需要考慮一下是否可能會在系統上再次使用SELinux，如果決定以後將其設定為Enforcing或 Permissive，那麼當下次重啟系統時，系統將會透過一個自動SELinux檔案重新程式標記。

　　關閉SELinux的方式也很簡單，只需編輯配置檔案/etc/selinux/config，並將文字中SELINUX=更改為SELINUX=disabled即可，重啟系統後，SELinux就被禁用了。

　　2、Permissive工作模式(寬容模式)

　　在Permissive模式中，SELinux被啟用，但安全策略規則並沒有被強制執行。當安全策略規則應該拒絕訪問時，訪問仍然被允許。然而，此時會向日志檔案傳送一條訊息，表示該訪問應該被拒絕。

　　某些情況下，可使用audit2allow命令來讀取SELinux稽核日誌並生成新的SELinux規則，從而有選擇性地允許被拒絕的行為，而這也是一種在不禁用SELinux的情況下，讓應用程式在Linux系統上工作的快速方法。

　　3、Enforcing工作模式(強制模式)

　　從此模式的名稱就可以看出，在Enforcing模式中，SELinux被啟動，並強制執行所有的安全策略規則。