SELlinux 安全域

SELlinux 安全域

我正在研究SELinux,但我找不到安全域的任何明确定义。什么是安全域?它与安全上下文有什么区别?

答案1

来自 Gentoo Wiki 的主题:2.SELinux 概念

正如预期的那样,用户的安全上下文(更具体地说,它所在的域)对目标目录的域具有写访问权限。域的概念在 SELinux 文档中经常使用,指的是分配给进程的类型。顺便说一句,由于文件没有角色,SELinux 赋予它们默认的 object_r 角色。

该段的关键部分是这句话:

域的概念在 SELinux 文档中经常使用,指的是分配给进程的类型

类型

如果您现在查看同一主题的本节中的类型:2.b.安全上下文 - 用户、角色、域、敏感性和类别

类型

这是分配给资源的类型,也是 SELinux 执行规则的关键

把它放在一起

最后,如果您看一下标题为:2.c.类型强制/域类型,它将这些点连接起来:

为了解释权限规则如何工作以及如何通过安全上下文强制执行,让我们从上下文中的最后一个定义(类型)开始,然后通过角色和用户继续前进。

  • ASELinux 类型是分配给资源的特定标签。例如,passwd 命令被标记为 passwd_exec_t 类型。
  • ASELinux 域是进程的安全状态,标识其拥有的权利和权限。最常通过其类型声明来引用它。例如,对于正在运行的 passwd 命令,其域是 passwd_t。

*passwd_t* 域的一个示例是在 *passwd_t* 域和 *shadow_t* 类型(由文件使用/etc/shadow)之间授予的权限。

相关内容