超级会员免费看
深入理解SELinux策略:构建与应用
1. SELinux策略模块的编写格式
SELinux策略模块有几种编写格式:
- SELinux原生格式 :它不理解参考策略宏,但这是仍在使用的基础策略开发方法,参考项目甚至依赖此格式来构建自己的规则集。
- 参考策略风格 :提供了宏来促进SELinux策略开发,同时仍支持SELinux原生格式使用的大部分语法。从SELinux原生格式过渡到参考策略风格相当简单。
- CIL格式 :这是一种全新的SELinux策略开发语言,但当然仍映射到众所周知的SELinux语言结构。最近的SELinux用户空间会在底层将前两种格式转换为CIL格式。
使用自定义模块(而不是依赖audit2allow)是首选,因为它为管理员提供了对添加的策略规则更多的控制,还允许管理员跟踪策略更新,包括策略规则内解释添加规则原因的注释。
2. 构建SELinux原生模块
原生SELinux策略语言模块以定义模块名称的行开头,接着是一组需求(类型或属性、类和权限),然后是规则本身。示例策略文件如下:
# cat localpolicy.te
module localpolicy 1.0;
require {
type setkey_t;
type newrole_t;
class fd { use };
}
allow setkey_t newrole_t:fd use;
订阅专栏 解锁全文
扫一扫
54
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
