可以说，今天IT领域的最热门话题之一就是安全。在谈到Linux系统的时候，安全加强型Linux（Security-Enhanced Linux，SELinux）毫无疑问总是人们讨论的话题之一。本文中，我也将讨论一些这方面的问题：什么是SELinux，它到底能为你做些什么？它有哪些局限性？你该在你支持的Linux版本上启动SELinux吗？它有什么新的功能，实施SELinux的最好办法是什么？

　　SELinux是由美国国家安全局开发的， 最初用来提供强制访问控制（通过使用Linux安全模型）。这种开发改变了Linux内核，实际上加强了安全控制。2000年，SELinux首次发布（遵守GPL协议），实际上到2003年八月它融入了标准2.6内核。启用SELinux有助于减少应用程序以及其他用户程序受到损害的风险。它有助于防止恶意程序或者写得不好的程序对整个系统带来危害。要理解SELinux其实并不是一个Linux版本，这个概念很重要。它现在集成在2.6内核中---许多Linux版本都支持这个功能，但并不是所有Linux版本都支持。SELinux的实质是访问控制、完整性控制、基于角色的访问控制（RBAC）以及强类型的架构。换句话说，它包含了改进的内核、一套核心库、以及功能改进的程序包和一个策略配置。

　　SELinux到底是用来做什么的呢？这是一个重要的问题。首先，它的目的是根据你设定的规则加强数据分离。这种配置将有助于防止不必要的进程访问你的数据。通过这种方式，它可以根据系统授权定义的不同安全要求来隔离单个主机系统。

　　哪些Linux版本支持SELinux呢？许多版本中集成了SELinux，人们只需要开启SELinux功能就可以使用。有些Linux版本可以通过安装可选程序包来集成SELinux功能；但如果我的Linux版本中不包含SELinux，我不会使用SELinux。支持SELinux的Linux版本包括：Red HAT、Debian和Fedora。值得注意的是SUSE和Slackwaredo并不支持SELinux。

SELinux有哪些竞争对手？

　　它可能的主要竞争对手是AppArmor（它们两者都遵守GPL协议）。AppArmor最大的分销商是Novell SUSE。Novell公司收购Immunix之后就把这个产品集成在它的SUSE版本中。AppArmor最重要的功能是什么？一个很简单的功能，但是SELinux里面没有。你只需要点击几下鼠标就可以创建一个配置文件，并且YaST控制中心还可以管理这个文件。AppArmor与SELinux之间根本的技术区别是：AppArmor通过路径识别文件系统目标，而不是通过信息节点。

　　SELinux中有哪些新东西？下面是2008年六月发布的最新版本中的亮点：

•  新增支持用户和角色重置。这主要是为libsepol提供的，可以选择使用。
•  checkpolicy中专用的角色控制
•  libsepol和checkpolicy中新增支持策略能力
•  通过libsemanage和libsepol减少内存使用
•  libselinux中新增avg_opne界面

　　下篇文章中，我们将为您提供一些实施SELinux操作中的技巧。