我正在研究SELinux,但我找不到安全域的任何明确定义。什么是安全域?它与安全上下文有什么区别?
答案1
域
来自 Gentoo Wiki 的主题:2.SELinux 概念。
正如预期的那样,用户的安全上下文(更具体地说,它所在的域)对目标目录的域具有写访问权限。域的概念在 SELinux 文档中经常使用,指的是分配给进程的类型。顺便说一句,由于文件没有角色,SELinux 赋予它们默认的 object_r 角色。
该段的关键部分是这句话:
域的概念在 SELinux 文档中经常使用,指的是分配给进程的类型
类型
如果您现在查看同一主题的本节中的类型:2.b.安全上下文 - 用户、角色、域、敏感性和类别
类型
这是分配给资源的类型,也是 SELinux 执行规则的关键
把它放在一起
最后,如果您看一下标题为:2.c.类型强制/域类型,它将这些点连接起来:
为了解释权限规则如何工作以及如何通过安全上下文强制执行,让我们从上下文中的最后一个定义(类型)开始,然后通过角色和用户继续前进。
- ASELinux 类型是分配给资源的特定标签。例如,passwd 命令被标记为 passwd_exec_t 类型。
- ASELinux 域是进程的安全状态,标识其拥有的权利和权限。最常通过其类型声明来引用它。例如,对于正在运行的 passwd 命令,其域是 passwd_t。
*passwd_t* 域的一个示例是在 *passwd_t* 域和 *shadow_t* 类型(由文件使用
/etc/shadow
)之间授予的权限。