使用selinux进行基于路径的访问

使用selinux进行基于路径的访问

考虑以下场景。我安装了一个 ro 文件系统/system,但根本无法重新安装它。有一个/system/bin/xyz带有 context 的文件u:r:bin_t。当然,我无法更改上下文,因为文件系统是 ro。我有一个在my_prog_t需要执行的上下文中运行的程序/system/bin/xyz。现在我可以允许my_prog_t执行,bin_t但我不希望它bin_t也执行其他文件。实际上,这可以通过文件路径来完成。这种情况可以用selinux 来处理而不用apparmor 吗?

相关内容