7、深入探索SELinux文件系统与审计日志

深入探索SELinux文件系统与审计日志

1. SELinuxFS文件与目录介绍

SELinuxFS包含了许多用于管理SELinux的文件和目录，以下将对其中一些重要的进行详细介绍。

1.1 状态文件（The status file）

版本文件可让我们了解SELinux内部的更新情况，例如策略重新加载时。用户空间对象管理器可以缓存决策结果，并利用重新加载事件来刷新缓存。状态文件是只读的，不具备特定的MAC权限。libselinux API接口如下：

int selinux_status_open(int fallback);
void selinux_status_close();
int selinux_status_updated(void);
int selinux_status_getenforce(void);
int selinux_status_policyload(void);
int selinux_status_deny_unknown(void);

通过检查状态结构，我们可以检测到变化并刷新缓存。不过目前你的libselinux中可能缺少这些API。

还有一些未详细介绍的SELinuxFS文件，如access、checkreqprot等，这些文件的使用并不简单，通常由使用libselinux API的用户空间对象管理器来处理。

1.2 访问向量缓存（Access Vector Cache）

SELinuxFS的 avc 目录用于获取内核中安全服务器的统计信息，包含以下文