4.2. SELinux 和强制访问控制(MAC)

Security-Enhanced Linux(SELinux)是在 Linux 内核中实现 MAC，在检查标准自主访问控制(DAC)后检查允许的操作。SELinux 可以针对正在运行的进程及其操作实施用户可定制的安全策略，包括尝试访问文件系统对象。在 Red Hat Enterprise Linux 中默认启用，SELinux 限制了利用应用程序和系统服务（如虚拟机监控程序）中漏洞可能导致的潜在损坏范围。

sVirt 与虚拟化管理抽象层 libvirt 集成，为虚拟机提供 MAC 框架。此架构允许 libvirt 支持的所有虚拟化平台以及 sVirt 支持的所有 MAC 实施互操作。