上篇文章中，我们已经简单介绍了作为性能更好的Linux的SELinux，本文中，将为您提供一些实际操作中解决问题的小技巧。

我需要SELinux吗？

　　我想说的是，我知道许多系统管理员在启用这个产品之后，眼睁睁地看着所有的应用程序迅速死亡。实施SELinux是一项工程。如果你想要你的应用程序在这个环境中运行，那么就不要想方设法的减少工作量。如果你想在产品环境中运行，我强烈建议你让一个专职SELinux系统管理员在这个错综复杂的系统中进行充分的培训。不要在开启SELinux以后还期望所有的事情都像以前那样正常工作，或者认为只需要进行简单的调整就行了。如果你这样做，我向你保证，你很快就会被炒鱿鱼。在现今世界里，安全性变得越来越重要，而可用性则位居次席。SLA（服务等级协议）通常要求系统全天候工作，而且用户不想听到任何安全故障。

实施SELinux的最好办法是什么？

　　我曾成功使用的方法是要确保你有多个环境。其中包括：一个沙盒、一个开发环境和一个Q/A或者一个试验性生产环境。在这种情况下，开发团队应该首先让SELinux在沙盒环境中正常工作。这个沙盒可能装载了一些基本的应用程序，但是IT人员（如系统管理员）可以决定装载哪些应用程序。我认为有这样一个环境非常重要。为什么这么重要呢？因为系统管理员可以尽情地在沙盒中折腾，这意味着他们可以破坏系统，但是不会带来任何影响。当IT人员已经了解了足够多的知识，并且已经能让核心应用程序在SELinux中工作的时候，你就可以进行环境循环，这类似于人们配置操作系统补丁或者配置应用程序新版本。这个开发环境通常由开发人员掌握。虽然他们可能不会因为你想限制他们的活动而紧张，但是如果实施SELinux是公司的一个政策，那么他们在跟你合作这件事上不会有太多选择。

　　你让应用程序在沙盒中正常运行之后，你可以继续进入Q/A或者试验性生产环境。我认为，在这个组合测试中要包括单元/系统测试以及UAT测试，而在经过严格的测试之后，你就可以进入生产环境了。单元/系统测试是指基本系统功能测试，而用户接受测试（UAT）包括用户实际使用系统，确保系统的核心功能可以正常工作。正如你看到的，这需要很大的努力，但是这些的确是实施SELinux系统时必须要做的工作。

　　总之，虽然我肯定会建议你要制定强大的安全政策，但是我建议你在使用SELinux这种产品之前需要多加小心。虽然成功部署可以实现，但你需要像对待真正的工程一样对待SELinux的实施过程。你在实施中花费适当时间会改进应用程序的可用性、带来用户认可的系统安全性，这些好处会给你带来十倍的回报。