SELinux 防止 CentOS 被漏洞利用的核心原理,就是采用强制访问控制(MAC)机制。来看几个关键措施:
- 进程权限受到严格限制——即便是以 root 身份运行的进程,也只能访问已明确授权的资源。任何越界操作都会被立即拒绝。
- 安全上下文隔离——每个文件与进程都带有安全标签,标签不匹配则无法访问。就像门禁系统一样,没有对应凭证就无法进入相应区域。
- 最小权限原则——进程仅获得完成其任务所需的最小权限,额外权限一律不赋予。这有效缩小了潜在攻击面。
- 策略定制与审计——可以为 HTTP、SSH 等服务量身定制访问规则,任何违规行为都会被记录,便于后续分析。
- 运行模式控制:
- 强制模式(Enforcing):一旦发现违规操作立即阻止,并写入日志。
- 宽容模式(Permissive):仅记录违规行为但不拦截,特别适合调试场景。
操作建议十分明确:生产环境务必启用强制模式,并定期检查审计日志。根据业务需求变化及时调整策略——这才是充分发挥 SELinux 防护价值的关键。
