SELinux访问控制与角色用户管理全解析
1. SELinux基础元素概述
SELinux(Security-Enhanced Linux)是一种基于类型强制(Type Enforcement,TE)的访问控制机制,其中类型(Types)、属性(Attributes)和别名(Aliases)是其重要的基础元素。
-类型(Types):是SELinux中访问控制的主要依据,作为所有对象(如进程、文件、目录、套接字等)的访问控制属性。类型通过type语句进行声明。
-属性(Attributes):是类型的集合。在大多数策略声明中,可以用属性代替类型。使用属性前必须先进行声明,可以在类型声明时添加类型到属性中,也可以使用typeattribute语句。
-别名(Aliases):是类型的替代名称,常用于在重命名类型时提供向后兼容性。可以在类型声明时声明别名,也可以使用typealias语句。
2. 访问向量(AV)规则
SELinux中有四种具有共同语法的AV规则,分别是allow、neverallow、auditallow和dontaudit。
-allow规则:用于指定一个域类型对一个对象类型可以具有的访问权限,通过对象类和权限来指定访问
