[例子 1]
/*
from external/sepolicy/netd.te
下面这条 SELinux 语句表示 允许(allow )netd 域(domain)中的进程 ”写(write)“
类型为 proc 的文件
注意,SELinux 中安全策略文件有自己的一套语法格式,下文我们将详细介绍它
*/
allownetd proc:file write
如果没有在 netd.te 中使用上例中的权限配置 allow 语句,则 netd 就无
法往/proc 目录下得任何文件中写数据,即使 netd 具有 root 权限。
显然,MAC 比 DAC 在权限管理这一块要复杂,要严格,要细致得多。
那么,关于 DAC 和 MAC,此处笔者总结了几个知识点:
Linux 系统先做 DAC 检查。如果没有通过 DAC 权限检查,则操
作直接失败。通过 DAC 检查之后,再做 MAC 权限检查。
SELinux 中也有用户的概念,但它和 Linux 中原有的 user 概念不
是同一个东西。什么意思呢?比如,Linux 中的超级用户 root 在
SELinux 中可能就是一个没权限,没地位,打打酱油的”路人甲“。
当然,这一切都由 SELinux 安全策略的制定者来决定。
通过上述内容,读者应该能感觉到,在 SELinux 中,安全策略文件是
最重要的。确实如此。事实上,对本文的读者而言,学习 SELinux 的
终极目标应该是:
看懂现有的安全策略文件。
编写符合特定需求的安全策略文件。
评论0
最新资源