**SELinux（Security-Enhanced Linux）** 是一种强制访问控制机制，由美国国家安全局（NSA）开发，用于提高Linux操作系统的安全性。它通过精细的权限管理，为系统中的每个进程、文件和其他资源分配安全上下文，实现严格的权限划分，有效防止恶意攻击和权限滥用。 **SELinux中文手册** 提供了对这一复杂系统的详细解释，帮助用户理解和配置SELinux。手册通常会涵盖以下内容： 1. **基础概念**：介绍什么是SELinux，它的目标是什么，以及它是如何工作的。这包括进程、文件的安全上下文，策略类型（如MLS/MCS）以及域间策略。 2. **模式和策略**：详述SELinux的策略语言，如TE（Type Enforcement）和模块化策略，以及如何创建和管理自定义策略。 3. **文件系统增强**：讲解如何在文件系统中查看和修改安全上下文，如使用`ls -Z`和`chcon`命令。 4. **进程管理**：解释进程如何在SELinux上下文中运行，以及如何通过`audit2allow`等工具调试进程的权限问题。 5. **网络服务**：描述如何配置SELinux以允许或限制网络服务的行为，例如Apache、MySQL等。 6. **故障排查**：提供在遇到SELinux拒绝访问错误时的解决步骤，包括查看审计日志（`/var/log/audit/audit.log`）和使用`ausearch`、`audit2why`等工具。 7. **应用兼容性**：讨论如何处理非SELinux友好软件的问题，以及如何为新软件创建策略规则。 8. **工具和命令**：列出常用的相关命令行工具，如`semanage`（用于管理策略）、`setenforce`（切换SELinux执行模式）和`restorecon`（恢复文件的安全上下文）。 9. **配置与管理**：指导如何在系统启动时设置SELinux状态，以及如何通过`sestatus`检查当前配置。 10. **案例研究**：可能包含针对特定场景的配置示例，如安全Web服务器或电子邮件服务器的设定。 通过阅读**SELinux详解** 和 **SELinux中文** 这两份文档，初学者可以全面了解SELinux的工作原理，并掌握实际操作中的技巧和最佳实践。这些资料对于系统管理员、安全专家或者任何希望提升Linux系统安全性的人员来说，都是宝贵的资源。

1. 简介 SELinux带给Linux的主要价值是：提供了一个灵活的，可配置的MAC机制。     Security-Enhanced Linux (SELinux)由以下两部分组成：     1) Kernel SELinux模块(/kernel/security/selinux)     2) 用户态工具     SELinux是一个安全体系结构，它通过LSM(Linux Security Modules)框架被集成到Linux Kernel 2.6.x中。它是NSA (United States National Security Agency)和SELinux社区的联合项目。 SE **SELinux工作原理详解** **一、SELinux的概述与组件** **1. SELinux的主要价值** SELinux（Security-Enhanced Linux）是Linux系统的一个重要安全增强组件，它的核心价值在于提供了一种灵活且可配置的强制访问控制（MAC）机制。这种机制能够精细控制系统中的用户、进程、应用程序和文件的访问权限，从而增强了系统的安全性。 **2. SELinux的组成部分** - **Kernel SELinux模块**：集成在Linux内核的安全模块，负责处理所有的安全决策。 - **用户态工具**：一系列的命令行工具和图形界面工具，用于管理SELinux策略、查看审计日志和配置安全上下文。 **二、SELinux与传统访问控制的区别** **1. 自主访问控制（DAC）与强制访问控制（MAC）** 传统的Linux系统使用的是DAC，用户可以自由地更改自己的权限，这使得恶意软件有可能获取高权限。而在SELinux中，权限由安全策略定义，即使拥有root权限的用户也无法绕过策略，大大降低了恶意软件的影响。 **三、SELinux的运行机制** **1. 决策过程** - **Access Vector Cache (AVC)**：当主体（如应用程序）尝试访问对象（如文件）时，内核首先查询AVC，查看是否有先前的访问权限记录。 - **安全服务器**：如果AVC中没有足够的信息，内核会向安全服务器请求策略决策，该服务器会根据安全策略矩阵来判断是否允许访问。 **2. 日志与审计** - 拒绝访问的事件会被记录在 `/var/log/messages` 中，便于系统管理员分析和调试。 **四、SELinux伪文件系统** 在 `/selinux/` 目录下，存在一系列的伪文件，它们提供了查看和修改SELinux状态的接口。例如： - `access`: 显示主体对对象的访问权限 - `booleans`: 管理SELinux的布尔值，用于开启或关闭特定的安全设置 - `context`: 查看和修改文件的安全上下文 - `create`: 创建新的安全策略模块 **五、SELinux策略的灵活性** - **类型强制（Type Enforcement, TE）**：定义了主体和对象的类型，以及它们之间的交互规则，使得权限控制更加细致。 - **多层安全（Multi-Level Security, MLS）**：允许创建不同安全级别的域，以实现不同敏感度信息的隔离。 **六、总结** SELinux通过引入MAC，强化了Linux系统的安全防御，使得权限管理更加严格。虽然对于普通用户可能是透明的，但对于系统管理员来说，理解并正确配置SELinux策略是确保系统安全的关键。同时，通过灵活的策略定义，可以在保护系统的同时，确保系统的正常运行和可用性。

SELinux允许的 该模块在引导过程中将SELinux切换到许可模式。 此模块有意降低手机的安全性设置。 请不要使用它，如果您不知道自己在做什么。 如果您的内核始终使用强制编译配置编译该模块，则该模块将无法工作，例如，现有的三星内核。 如何安装： 稳定发布： 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动 主分支： git clone cd selinux_permissive 进行安装 支持

SELinux SEAndroid. 开头包含 Android11 添加自定义su进程的权限报错，解决实例。

SELinux by example is the first complete, hands-on guide to using SELinux in production environments. Authored by three leading SELinux researchers and developers, it illuminates every facet of working with SELinux, from its architecture and security object model to its policy language. This book thoroughly explains SELinux sample policies including the powerful new Reference Policy showing how to quickly adapt them to your unique environment. It also contains a comprehensive SELinux policy language reference and covers exciting new features in Fedora Core 5 and the upcoming Red Hat Enterprise Linux version 5.

之前有人上传过但无法显示，后来经google各种查询后找到本篇正常显示的文档；selinux基础文档，selinux版本比较老，但是核心概念几乎都有

点进去按教程安装，如果不想取代主系统选保留系统

Linux操作系统基础

Android6.1以后增加了Selinux，对安全性的管理更加严格了， 但是有时候客户第三方app需要执行su操作， 来获取系统的权限。 代码已验证有效。

container-selinux-2.9-4.el7.noarch.rpm，centos7 rpm 离线安装 docker