SELinux配置⽂件(etcselinuxconfig
王者荣耀妲己喝自己的液正如你所看到的,在我们的系统上安装了两个策略⽬录:strict
⼀个正在运⾏的系统不需要src/⽬录,它包括了安装的策略源树,要么是⽰例策略,要么是引⽤策略源树,实际上单⽚⼆进制策略⽂件存储在.policy/⽬录中的policy.[ver]⽂件中,这⾥的[ver]就是策略⼆进制⽂件的版本号,如
在RHEL 4中,booleans.local⽂件被取消了,能够覆盖策略默认值(不是修改策略本⾝)的是策略⽬录下的booleans⽂件,使⽤单个⽂件的问题是Red Hat使⽤它作为发⾏版的默认值,rpm软件包可能会覆盖它,这样就会造成对本地改变的破坏,在FC 4中,booleans.local⽂件允许包管理器不影响本地改变。
在Fedora Core 5中,booleans⽂件被取消,但booleans.local⽂件仍然保留,发⾏版默认值由策略⾃⾝进⾏管理,Red Hat在策略源中设置它们的默认值。
system-config-securitylevel⼯具提供了⼀个图形接⼝改变本地固定值(即booleans.local⽂件),在这个⼯具的修改SELinux策略列表框中的项⽬对应定义的策略布尔变量,布尔值也可以使⽤setsebool命令⾏⼯具修改,使⽤setatus和getsebool命令进⾏查看。
)系统的,域RHEL 4相⽐较可能稍微有所不同,⽽且FC 5中肯定⼜有很多增强了,因此我们会标明不同的地⽅。
13.1.2.2 应⽤程序和⽂件安全上下⽂
在策略安全⽬录下的contexts/⼦⽬录包括了许多帮助系统服务和实⽤程序管理⽂件安全上下⽂标记的⼤量⽂件,它们也包括登陆进程的默认安全上下⽂,通常,这些⽂件只应该由策略开发⼈员修改,但管理员可能偶尔也需要修改⼀下,下⾯列出这些⽂件的主要⽤途:
经营类游戏第⼀⾏代表本地登陆进程(通过它的类型login_t登陆),第⼆个是
contexts/files/file_ contexts.home_dirs:这个⽂件是使⽤/usr/sbin/genhomedircon脚本⾃动⽣成的,它的格式与file_contexts⼀致,但它只⽤于标记⽤户home⽬录。
2022年世界杯赛程表contexts/files/homedir_template:这个⽂件包括⼀个/usr/sbin/genhomedircon脚本使⽤它产⽣标记块的模板。
contexts/files/media:这个⽂件包括挂载在/media/⽬录下的存储设备的安全上下⽂,通过libselinux matchmediacon(3) API使⽤它。contexts/initrc_context:这个⽂件包括⼀个⾓⾊/类型组,⽤于run_init的安全上下⽂,即管理员以init相同的⽅式启动系统服务,这样它就可以执⾏由init初始化的存储在/etc/rc.d/⽬录下的脚本,这个⾓⾊/类型组通常和init⽤来启动系统服务的⾓⾊/类型组⼀致。
contexts/removable_context:这个⽂件包括可移动媒体设备的默认安全上下⽂,这个安全上下⽂⽤于media上下⽂⽂件没有标记的设备。
13.1.2.3. SELinux⽤户定义
user/⽬录下有两个⽂件被添加进来⽀持更好的⽤户管理,以便不⽤改变策略本⾝,这两个⽂件格式相同,它们列出策略user语句。
users/system.users:这个⽂件让发⾏商可以修改与明确定义在策略源中的⽤户关联的⾓⾊,包管理
器将会覆盖这个⽂件,因此它不能做本地修改,我们应该使⽤local.user⽂件定义本地⽤户。
users/local.users:这个⽂件的功能和system.users⼀样,除了它不能由发⾏商修改外,因此,我们可以在这个⽂件中定义本地⽤户。
load_policy实⽤⼯具在将策略载⼊内核前读取这些⽂件并改变⼆进制策略,改变仅针对内存中的策略版本,磁盘上的⼆进制策略不会改变,通常,对于任何⼀个⽂件,如果⽤户已经在策略⽂件中存在,即硬编码进原始策略源中,关联的⾓⾊会被改变,否则,在它载⼊内核前⽤户就会被添加进策略。
13.1.2.4.SELinux⽂件系统
SELinux伪⽂件系统在SELinux内核空间Linux安全模块(LSM)和⽤户空间程序之间提供了主要的控制接⼝,参考第3章中的图3-2。这个⽂件系统通常挂载在/selinux/,许多SELinux实⽤程序和API(有libselinux库提供)使⽤SELinux⽂件系统访问LSM模块,在本节中,我们分析其中⼀些管理员可能感兴趣的⽂件,这个⽂件系统中存在的⼤部分⽂件⽀持libselinux中的API,这⾥暂时不做讨论,使⽤这些⽂件的推荐⽅法是通过更稳定的libselinux API和对应的⼯具。
乔任梁遗体图片注意安全上下⽂中的⽤户标识符是通⽤⽤户user_u,那是因为我们没有将jimmy添加为特定的SELinux⽤户,因此FC 4就使⽤默认丢的user_u。
对于那些不需要定义⼤量⽤户⾓⾊系统⽽⾔使⽤通⽤⽤户就⾜够了,⽬前常见的策略都只有⼀组⾓⾊(系统,管理员和⽤户),所有新⽤户都指派为⽤户⾓⾊(user_t域类型,user_r⾓⾊),这是通过通⽤⽤户user_u实现的,和jimmy⼀样,为了向SELinux系统添加⼀个普通⾮特权⽤户,除了使⽤useradd命令外,我们不需要再做额外的事情。
FC 5中的⽤户管理兔子的成语
在FC 5中,通过引⼊semanager⼯具使得⽤户管理变得更加简单了,semanage⼯具可以管理SELinux⽤户、它们的⾓⾊授权和普通Linux⽤户之间的映射,关于SELinux⽤户和普通linux⽤户之间的映射请参考第6章中的有关内容,如:
在这个例⼦中,我们添加了⼀个新⽤户staff_u,它被授予sysadm_r
匡衡勤学staff_u,然后列出了所有⽤户映射情况。
注意,因为FC 5默认使⽤了⾮强制的MLS特性,主要是为了实现
注意我们的⾓⾊和⽤户域类型分别是staff_r和staff_t,它们都是⾮特权的⽤户⾓⾊和类型,通过
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论