SELinux的学习

     SELinux是「Security-Enhanced Linux」的简称，是美国国家安全局「NSA＝The National Security Agency」 和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块。

     这些连到互联网的服务器，不可避免的要受到来自世界各地的各种威胁。最坏的时候我们的服务器被入侵，主页文件被替换，机密文件被盗走。除了来自外部的威胁外，内部人员的不法访问，攻击也是不可忽视的。对于这些攻击或者说是威胁，当然有很多的办法，有防火墙，入侵检测系统，打补丁等等。

       Linux也和其他的商用UNIX一样，不断有各类的安全漏洞被发现。

      对于以上这些的不足，防火墙，入侵检测系统都是无能为力的。

      在标准Linux中，主体的访问控制属性是与进程通过在内核中的进程结构关联的真实有效的用户和组ID，这些属性通过内核利用大量工具进行保护，包括登陆进程和setuid程序，对于文件，文件的inode包括一套访问模式位、文件用户和组ID。

    以前的访问控制基于读/写/执行这三个控制位，文件所有者、文件所有者所属组、其他人各一套。在SELinux中，访问控制属性总是安全上下文三人组形式，所有文件和主体都有一个关联的安全上下文，标准Linux使用进程用户/组ID，文件的访问模式，文件用户/组ID要么可以访问要么被拒绝，SELinux使用进程和客体的安全上下文，需要特别指出的是，因为SELinux的主要访问控制特性是类型强制，安全上下文中的类型标识符决定了访问权。

   若要访问文件，必须同时具有普通访问权限和SELinux访问权限。因此即使以超级用户身份root运行进程，根据进程以及文件或资源的SELinux安全性上下文可能拒绝访问文件或资源。

    此时就需要 restorecon 将其恢复为可被 Apache 访问的 httpd_sys_content_t 类型：