selinux：由美国国家安全局开发的，security enhanced linux的缩写。

传统的文件权限与账号关系：自主访问控制 DAC，就是一句进程的所有者与文件资源的rwx权限来决定有无访问能力

这种DAC的缺点：root具有最高权限，可以在系统上进行任何资源的访问；用户可取得进程来更改文件资源的访问权限。

以策略规则制定特定程序读取特定文件：强制访问控制 MAC

可以针对特定的进程与特定的文件资源来进行权限的控制，也就说即使是root，在使用不同进程时，所能取得的权限不一定是root，而得看进程的设置而定。如此，针对控制的主题变成了进程而不是用户。

selinux的运行模式：

主体：也就是进程

目标：文件系统

策略：依据某些服务来制定基本的访问安全策略。

安全上下文：主体能否访问目标，除了策略指定之外，主体和目标的安全上下文必须一致才能够顺利访问。类似于文件系统的rwx。