4.2. SELinux 和强制访问控制(MAC)
Security-Enhanced Linux(SELinux)是在 Linux 内核中实现 MAC,在检查标准自主访问控制(DAC)后检查允许的操作。SELinux 可以针对正在运行的进程及其操作实施用户可定制的安全策略,包括尝试访问文件系统对象。在 Red Hat Enterprise Linux 中默认启用,SELinux 限制了利用应用程序和系统服务(如虚拟机监控程序)中漏洞可能导致的潜在损坏范围。
sVirt 与虚拟化管理抽象层 libvirt 集成,为虚拟机提供 MAC 框架。此架构允许 libvirt 支持的所有虚拟化平台以及 sVirt 支持的所有 MAC 实施互操作。