SELinux (Security-Enhanced Linux)

SELinux（Security-Enhanced Linux）は、Linuxカーネルに強制アクセス制御（MAC: Mandatory Access Control）機能を追加するセキュリティモジュールです。元々はアメリカ国家安全保障局（NSA）によって開発されました。

従来の権限との違い

従来のLinuxの権限（DAC）は「ファイルの所有者が誰か」に基づいていました。SELinuxは「どのプログラム（プロセス）が、どのファイルに対して、どのような操作（読み込み・書き込み等）をして良いか」をポリシーとして厳密に定義し、強制します。

なぜ重要か

Webサーバーなどの脆弱性を突かれて侵入された場合でも、SELinuxが有効であれば、攻撃者がroot権限を奪取したり、システム領域のファイルを書き換えたりする被害を最小限に食い止めることができます（閉じ込める）。