Linux 系统保护，对比 AppArmor 和 SELinux 关键差异

对 Linux 系统管理员来说，强制访问控制(MAC)如 AppArmor 和 SELinux 是不可或缺的安全工具，它们能够在 Linux 内核层级管理资源访问和控制系统。

虽然有着相同的目标，但 AppArmor 和 SELinux 在操作方式和功能方面存在显著差异。本文将介绍两者之间的关键差异，重点突出它们各自的特点和能力。

AppArmor vs. SELinux

AppArmor 和 SELinux 都是 Linux 系统保护工具，旨在隔离应用程序并在系统被攻击时限制潜在损害。

AppArmor 的操作原则是先授予权限，再应用限制。SELinux 则采用更为保守的方式，默认会限制所有应用程序的访问，仅向提供适当凭证的用户授予访问权限。

虽然它们有许多共同点，但两者之间也存在显著差异：

AppArmor 简介

AppArmor 是一个实用的 Linux 内核安全模块，自 Ubuntu 7.10 以来就被集成到系统当中。该模块允许开发人员限制应用程序访问特定文件，从而保护可能存在漏洞的应用程序和易受攻击的软件，例如 Web 服务器。

AppArmor 使用安全配置文件来确定应用程序所需的权限，这些（文本形式的）配置文件通常会在 Linux 系统启动期间加载到内核中。

AppArmor 在配置文件中强制执行两种主要规则：

• 路径条目：确定应用程序可以访问哪些文件。
• 权限条目：指定了受限进程被允许使用的特权。

AppArmor 有两种模式：

• 投诉模式(Complain Mode)：会记录违规行为事件，但不执行规则。
• 执行模式(Enforce Mode)：会检查新的配置文件并阻止所有违规行为。

AppArmor 由多个组件组成：

• 服务器分析器：此组件扫描端口并自动定位监听它们的应用程序。它还会识别没有配置文件以及需要被限制的应用程序。
• 配置文件生成器：分析应用程序并创建配置文件模板。
• 优化器：此组件会将事件记录并收集到正常行为的配置文件中。

您可以在「终端」中运行以下命令来检查 AppArmor 模块的状态：

sudo apparmor_status

该命令将显示 AppArmor 是否处于活动状态，列出已安装的配置文件，并显示活动受限进程。

SELinux 简介

SELinux(Security Enhanced Linux)是一个强大的 Linux 内核安全模块，它能够对系统资源实现高订制化访问控制。

SELinux 的运行原则是「默认拒绝」，它默认限制所有应用程序的访问权限，只授予具有适当凭据的用户访问权限。这种保守的访问控制方式让其与 AppArmor 区分开来。

SELinux 的关键特性之一是使用标签来标识 Linux 系统中的文件、进程和端口，这些标签对于实施有针对性的策略至关重要。SELinux 的另一个重要概念是类型强制，它有助于确定具有特定标签类型的进程是否可以访问带有另一种标签类型的文件。

SELinux 还利用了一种称为访问向量缓存(AVC)的功能来加速访问控制过程。AVC 缓存了以前的决定，如允许或限制访问。例如，当一个应用程序尝试访问一个文件，SELinux 会根据以前的决定检查 AVC，并根据之前的决定允许或拒绝访问。

RHEL、CentOS 和 Fedora 默认安装就可以使用 SELinux，要查看 SELinux 状态请在「终端」执行以下命令：

sudo sestatus

该命令将显示 SELinux 是否处于活动状态，已安装的配置文件列表以及活动的受限进程。

现在，您应该清楚了解了 SELinux 和 AppArmor 的优缺点。不同的系统有各自独特的 Linux 安全解决方案，以防止未经授权访问和系统资源修改。

虽然这 AppArmor 和 SELinux 都旨在增强安全性，但如何选择取决于您的具体需求和操作环境。如果希望简单易用，AppArmor 可能是个不错的选择；如果需要更强大和全面的安全解决方案，SELinux 可能更加适合。