SELinux內(nèi)核架構(gòu)

最早期的SELinux是Linux系統(tǒng)一個(gè)增強(qiáng)安全的補(bǔ)丁集，其后為解決每個(gè)系統(tǒng)對(duì)安全的細(xì)節(jié)控制不盡相同的問(wèn)題，Linux安全框架（LSM， Linux Security Modules）被提出，使SELinux可作為可加載的安全模塊運(yùn)行。

LSM是一個(gè)底層的安全策略框架，Linux系統(tǒng)利用LSM管理所有的系統(tǒng)調(diào)用。SELinux通過(guò)LSM框架整合到Linux內(nèi)核中。

當(dāng)用戶進(jìn)程執(zhí)行系統(tǒng)調(diào)用時(shí)，進(jìn)程首先遍歷Linux內(nèi)核現(xiàn)有的邏輯尋找和分配資源，進(jìn)行一些常規(guī)的錯(cuò)誤檢查，然后進(jìn)行DAC自動(dòng)訪問(wèn)控制。

自主訪問(wèn)控制（DAC， Discretionary Access Control）

進(jìn)程僅在內(nèi)核訪問(wèn)內(nèi)部對(duì)象之前，由LSM的鉤子詢問(wèn)LSM模塊可否訪問(wèn)，LSM模塊處理該策略問(wèn)題并回答可以訪問(wèn)或拒絕訪問(wèn)。

LSM框架主要包括安全服務(wù)器、客體管理器和訪問(wèn)向量緩存。LSM模塊架構(gòu)如圖所示。

安全服務(wù)器負(fù)責(zé)策略決定，安全服務(wù)器使用的策略通過(guò)策略管理接口載入。

客體管理器負(fù)責(zé)按照安全服務(wù)器的策略決定強(qiáng)制執(zhí)行它管理的資源集。

對(duì)于內(nèi)核，客體管理器可以理解為一個(gè)內(nèi)核子系統(tǒng)，負(fù)責(zé)創(chuàng)建并管理內(nèi)核級(jí)的客體，包括文件系統(tǒng)、進(jìn)程管理和System V進(jìn)程間通信（IPC， Inter-Process Communication）。

訪問(wèn)向量緩存（AVC， Access Vector Cache）提升了訪問(wèn)確認(rèn)的速度，并為L(zhǎng)SM鉤子和內(nèi)核客體管理器提供了SELinux接口。