一、概念
1.
运行模式
Selinux 有两种运行模式:Permissive 和 Enforcing。未明确配置权限,当访问时默认权限
是拒绝。为方便开发调试权限配置,单个 domain 可设置为 permissive 模式,permissive
domain。
2. 语法格式
Selinux
依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程
都在
selinux
中有标签。
Selinux
决策基于分配给这些对象的标签和定义它们如何交互的策
略,
label
的格式:
user:role:type:mls_level
,如
/dev/amaudio_.* u:object_r:audio_device:s0
;
策略(
policy
)的格式是:
allow domains types:classes permissions
:
Action
:通常为
allow
、
neverallow
,常用的为
allow
Domains
:代表一个进程或者一组进程
Type
:对象通过
label
定义一个代替对象的类型(
type
),通过定义的
type
映射到
类;每个类的不同类型的访问由权限表示,如
type btmic_data_file, file_type,
data_file_type
,此处对象通过
type
映射到类。
Class
:
selinux
中被访问的对象(
object
)的类型
Permissions
:可被执行的和
class
相关的操作
Selinux
权限配置,其中元素关系如下图
Policy
的意思为:在
domains
域中允许对标记为
type
类型的
class
执行
permission
操作。
例如:
allow appdomain app_data_file:file rw_file_perms
,所有应用程序域都允许读取和写入
标记为
app_data_file
的文件
在 contexts 文 件 中 , 为 不 同 的
object 定义 label,label 中的 type 在 te
文件中被常使用。
Policy 中使用 type 和 object 进行
权限绑定。
在域中,为不同的 type 指定在该
域中的权限,不同的域就是一个有安
全边界的盒子。若需要使用盒子中的
主体(如进程)访问资源,就会检查
盒子中的权限,如果没有配置相应的
权限,访问就会被阻止。
操作->盒子:主体:权限检查->访问资源
评论0