我正在使用 SELinux(目标模式)来限制自定义应用程序。我使用该命令sepolicy generate --init
自动生成上下文和规则,一切都出奇地顺利:所有资源都用自定义上下文标记,应用程序运行良好。
然而,令我惊讶的是,下面的配置文件/etc/customApplication
仍然带有上下文标记etc_t
。
是否有原因不为这些文件sepolicy generate --init
创建新的上下文?etc_t_customApplication
答案1
etc_t
是一种 SELinux 类型,默认情况下作为 SELinux 上下文的一部分应用于 /etc 下的文件,这些文件是世界可读的,但仅由 root 拥有和修改- @fpmurphy
如果您需要使用其他应用程序/守护程序修改这些配置文件,或者您需要对其他所有内容隐藏这些文件,您可能确实需要自己的上下文。