SELinux透過強(qiáng)制性的安全策略，應(yīng)用程序或用戶必須同時(shí)符合DAC及對應(yīng)SELinux的MAC才能進(jìn)行正常操作，否則都將遭到拒絕或失敗，而這些問題將不會影響其他正常運(yùn)作的程序和應(yīng)用，并保持它們的安全系統(tǒng)結(jié)構(gòu)。但這些安全策略很難進(jìn)行創(chuàng)建和故障修復(fù)。

      不過通過紅帽公司的努力，SELinux能夠?qū)崿F(xiàn)都某些應(yīng)用軟件加強(qiáng)控制的目標(biāo)安全協(xié)議，同時(shí)還能將傳統(tǒng)的Linux訪問控制置于監(jiān)管之下。

      OpenSUSE 11.1即將推出的版本只能為SELinux提供基本支持，AppArmor是向用戶推薦使用的產(chǎn)品安全加強(qiáng)方案，不過根據(jù)NOVELL的說法，基本SELinux的附加功能將允許選擇AppArmor方案的用戶將他們的系統(tǒng)遷移到NOVELL的Linux操作系統(tǒng)上去。

      紅帽公司的Fedora Linux產(chǎn)品的Version 10預(yù)計(jì)將于11月底推出，這款版本有望增加最新的安全審核和入侵防御工具。

      Fedora能在安裝時(shí)支持全容積加密（Ubuntu產(chǎn)品也具備這個(gè)功能，但OpenSUSE沒有這個(gè)特性），也能支持Fedora的SELinux子系統(tǒng)。紅帽公司提供的安全防護(hù)特性是目前所有Linux產(chǎn)品中最為豐富的。

      紅帽公司稱之為Sectool的最新審核功能可以為用戶提供一套系統(tǒng)測試，主要用于與許可證，防火墻規(guī)則和其他系統(tǒng)安全特性的狀態(tài)有關(guān)的配置檢測。除此之外，Sectool還能為系統(tǒng)管理員提供了可供編程的系統(tǒng)框架，通過這個(gè)框架管理員可以用Bash, Python或者其他腳本語言編寫自己的測試程序。

      在Fedora 10中，Sectool可以進(jìn)行分為5個(gè)安全級別的測試，分別被稱為Naive, Desktop, Network, Server或Paranoid。

      我還在Fedora 10測試安裝的幾個(gè)安全級別上運(yùn)行了Sectool的制圖版本，工具響應(yīng)存在錯(cuò)誤。這款工具在錯(cuò)誤信息上提供了充分的信息提示來為我指出正確方向來解決問題，不過這個(gè)功能如果與系統(tǒng)的配置工具相結(jié)合能運(yùn)行的更好。

yajing