SELinux访问向量规则详解
1. 访问向量规则概述
访问向量(AV)规则是用于根据对象类的访问权限来明确规则含义的规则。SELinux策略语言目前支持四种类型的AV规则:
-allow:指定两种类型之间允许的访问。
-dontaudit:指定不记录的访问拒绝消息。
-auditallow:指定要记录的允许访问事件。
-neverallow:指定任何允许规则都不能授予的访问权限。
2. 通用AV规则语法
所有AV规则都有相同的基本语法,每个规则包含五个元素:
|元素|描述|
| ---- | ---- |
|规则名称|allow、dontaudit、auditallow或neverallow|
|源类型|被授予访问权限的类型,通常是尝试访问的进程的域类型|
|目标类型|源类型被授予访问权限的对象的类型|
|对象类|指定访问被允许的对象类|
|权限|源类型被允许对目标类型的指定对象类的特定访问权限(也称为访问向量)|
简单的AV规则示例:
allow user_t bin_t : file execute;此规则中,源类型是user_t,目标类型是bin_t,对象类是file
