Getting Started with SE Linux HOWTO:the new SE Linux
faye@kaos:~$ getfattr -m . -d /etc/passwd
getfattr: Removing leading '/' from absolute path names
# file: etc/passwd
security.selinux="system_u:object_r:etc_t\000"
你所查看的文件的 security.selinux 属性中储存了此文件的安全上下文, 所以上面例子中的
上下文就是 system_u:object_r:etc_t 。所有运行了 SE Linux 的 ext2/3 文件系统上都有
security.selinux 这个属性(这个新特性的关键). 如果你引导了一个没有 SE Linux 的内核,
你将仍然看到这个扩展属性. 当你用 make relabel 操作设置了文件的安全上下文期间,扩展
属性就被 setfiles 设置了。
从 init 加载 SE Linux 策略
打开了 SE Linux 的系统在引导时,init 进程既要挂载
/selinux
文件系统,并
在那之后载入 SE Linux 的策略。
安全ID(SIDs) 和 父进程安全ID(PSIDs) 不再使用
SIDs (安全ID) 在旧的 SE Linux 是用户进程的内核接口. PSIDs (父进程安全
ID SIDs) 是内核映射(设置)磁盘上的文件的上下文的根据(译者注:这里的
概念可能不是很清晰,总的来说就是SID和PSID在旧的SE Linux中起着标记安全
上下文的作用)。 请看NSA的
Configuring the SELinux Policy 获得更多的帮
助。 在新的SE Linux中, 扩展属性记录了安全上下文,所以SIDs和PSIDs 也就
不必要了。
-Z 参数
-Z 可以替代 --context 命令参数,比如 ls -Z 和 ps -Z.
用 chcon 命令替代了 chsid 命令
chsid
命令在旧的 SE Linux 中用来设置文件的安全上下文。新的 SE Linux 中
用
chcon
命令来设置。
chcon
在旧的 SE Linux 中已经可以使用,但是在新的
SE Linux 中的设置用户或类型方面得到了进一步改善。可以查看 manpage 获得
更多的提示。
1.4. Fedora 用户的策略(Policy)源
代码目录介绍
在 Debian 中, 策略的源代码目录是/etc/selinux. 在 Fedora 中是/etc/security/selinux/src/policy。
在这份文档中我市参照 Debian 的源代码目录做的操作, 如果你是 Fedora 用户, 请用
/etc/security/selinux/src/policy 替换。
2. 总揽
5