SELinux,全稱Security Enhanced Linux,是一個由美國國家安全局(NSA)領導開發的GPL項目。它的主要目的是提高Linux系統的安全性,通過提供一個靈活而強制性的訪問控制結構來防禦未知攻擊,提供強健的安全保證。SELinux相當於B1級的軍事安全性能,比MS NT的C2等級高得多。
SELinux通過在系統中引入一個額外的安全層,為Linux系統提供了一個額外的安全防護功能。它通過在檔案和進程上標註上下文(可以理解為標記),來限制服務只能讀取和操作與其上下文相關的檔案和資源。例如,一個HTTP服務只能讀取和操作與其上下文相關的檔案和連線埠號,而不能跨上下文訪問其他服務的檔案。這種機制防止了潛在的攻擊者利用一個服務的漏洞來攻擊系統中的其他服務。
SELinux不僅是由美國國家安全局開發的,還聯合了其他安全機構(如SCC公司)共同開發,旨在增強傳統Linux作業系統的安全性,解決傳統Linux系統中自主訪問控制(DAC)系統中的各種許可權問題,如root許可權過高等。