linux的DAC和MAC

1. DAC（Discretionary Access Control，自主访问控制）

① DAC是传统的Linux的访问控制方式，DAC可以对文件、文件夹、共享资源等进行访问控制。

② 在DAC这种模型中，文件客体的所有者（或者管理员）负责管理访问控制。

③ DAC使用了ACL（Access Control List，访问控制列表）来给非管理者用户提供不同的权限，而root用户对文件系统有完全自由的控制权。

2. MAC（Mandatory Access Control，强制访问控制）

① SELinux在内核中使用MAC检查 *** 作是否允许。

② 在MAC这种模型中，系统管理员管理负责访问控制，用户不能直接改变强制访问控制属性。

③MAC可以定义所有的进程（称为主体）对系统的其他部分（文件、设备、socket、端口和其它进程等，称为客体）进行 *** 作的权限或许可。

3. DAC和MAC的其它区别

① DAC的主体是真实有效的用户和组ID，MAC的主体是安全上下文，两者的UID是各自独立的。

② DAC的访问控制模式是rwxrwxrwx，MAC的访问控制模式是user:role:type。

SELinux，Security Enhanced

Linux的缩写，也就是安全强化的Linux，是由美国国家安全局联合其他安全机构共同开发的，旨在增强传统Linux *** 作系统的安全性，解决传统Linux系统中自主访问控制系统中的各种权限问题。

对于SELinux，初学者可以这么理解，它是部署在Linux上用于增强系统安全的功能模块。

传统的Linux系统安全，采用的是DAC，而SELinux是部署在Linux系统中的安全增强功能模块，它通过对进程和文件资源采用MAC为Linux系统提供了改进的安全性。

SELinux的主要作用

①通过对进程和文件资源采用MAC控制方式，为Linux系统提供了改进的安全性。

②最大限度地减小系统中服务进程可访问的资源。

它赋予了主体最小的访问特权，这也就意味着，每个主体仅被赋予了完成相关任务所必须的一组有限的权限。通过赋予最小访问特权，可以防止主体对其他用户或进程产生不利的影响。

③SELinux管理过程中，每个进程都有自己的运行区域，各进程仅运行在自己的域内，无法访问其他进程和文件，除非被授予了特殊权限。

④SELinux能最大程序上限制Linux系统中的恶意代码活动。

---