CentOS中SELinux默認強制(Enforcing)模式��,核心原因是通過內核級強制訪問控制(MAC)增強系統安全性�,具體體現在:
- 最小權限原則:嚴格限制進程僅能訪問策略允許的資源(如文件�����、網絡端口)�,即使進程以root身份運行����,違規操作也會被阻止���。
- 防御0-Day漏洞:當系統存在未修復的漏洞時��,SELinux可通過策略阻斷攻擊路徑�。例如�,限制Apache進程僅能訪問其配置目錄���,防止通過漏洞訪問敏感文件(如
/etc/passwd)��。
- 細粒度權限控制:基于安全上下文(用戶����、角色�����、類型)精確匹配主體(進程)與客體(資源)的訪問權限���,避免粗粒度權限(如傳統Linux DAC)導致的過度開放�����。
- 合規性與審計:滿足等保等安全合規要求��,記錄所有訪問行為�,便于追蹤異常操作��。
注:若需臨時關閉強制模式��,可執行setenforce 0���,但永久修改需編輯/etc/selinux/config文件��。
