wjyph的博客

约束（constraints），是SELinux很有用的特新，它的使用十分普遍。很多时候，用户觉得约束是一种添加到黑名单上，并使其受限的方法。当然前提是默认允许，约束它告诉人们的是在指定情况下这是不允许的。但是在SELinux中，这种感觉是不准确的。SELinux中，约束更像是过滤器，它遵循白名单的方法。SELinux中的约束（constraints）是在指定的情况下允许某些操作，不匹配要求的操作

已经探讨过文件访问时AVC拒绝。当经常使用SELinux会发现，有些活动按理应该被允许，却被拒绝了。当有些原因是依据某些因素（选择），将推荐SELinux策略作者将策略设置为可选的。SELinux中可选意味着访问权限通过SELinux布尔值触发。SELinux布尔值是一个字符串（可赋予具体含义）来改变SELinux发挥作用。使用getsebool工具可以显示布尔值列表和当前值。root #

先前讲解Internet部分，很多次遇到unconfined，很可能留意到叫做unconfined_t的域。unconfined_t域的特点回顾下在unconfined域运行的进程。user $ps-eZ | grep gnomeunconfined_u:unconfined_r:unconfined_t test 3125 ? 0:00/usr/bin/gnome-key

我们知道进程的上下文定义了进程被允许的行为。作为进程域转换的部分，上下文可以被改变。这种访问控制被称为类型强制（type enforcement），但是SELinux不仅仅是这些，包含SELinux角色…SELinux用户域来查看下普通linux用户的上下文：user $iduid=1000(swift)gid=100(users) groups=100(users),16(cron

我们已经知道进程按照特定的SELinux域来执行的，域被SELinux用来检查进程针对某一上下文的文件的权限。我们需要知道如何设置文件的上下文，知道如何让这可管理。由此以来，如果当出现因为错误的上下文而权限拒绝。我们需要纠正这个问题。SELinux中的文件（目录）的上下文通过它的扩展属性来设置的，但是不得不手动为所有文件设置上下文，这需要包含所有可能的文件路径和相关的SELinux上下文的数据

我们已经知道进程拥有安全上下文（后面简称为上下文），可以使用ps –eZ 命令查看。root #ps -eZ | grep auditdsystem_u:system_r:kernel_t:s0     448 ?        00:00:04 kauditdsystem_u:system_r:auditd_t:s0    6731 ?        00:00:22 auditd