宁波网站建设 泊浮科技,哈尔滨新闻头条最新消息,flash网站链接怎么做,上海连锁设计公司接前一篇文章#xff1a;SELinux零知识学习十二、SELinux策略语言之客体类别和许可#xff08;6#xff09; 一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
为了更好地理解许可是如何控制对系统资源的访问的#xff0c;下面进一步讨论以下两个客体类别和许可…接前一篇文章SELinux零知识学习十二、SELinux策略语言之客体类别和许可6 一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
为了更好地理解许可是如何控制对系统资源的访问的下面进一步讨论以下两个客体类别和许可file见SELinux零知识学习十、SELinux策略语言之客体类别和许可4和process见上一篇文章。
1访问撤销
撤销前面授予的访问权限是创建有关灵活和动态的安全机制非常重要的部分当策略发生变化或客体安全上下文发生变化时就需要撤销之前授予的权限。例如如果某个文件的安全上下文发生了变化打开那个文件的进程可能不再有相同的访问权这是由新的策略决定的系统不得不撤销现有的与变化不一致的访问权。对于复杂的操作系统确保在所有环境下访问权的撤销是一件困难的任务。
SELinux支持多种环境下的撤销比标准Linux支持要多得多。例如每次对文件进行读和写时都会检查文件的访问权因此如果文件的安全上下文发生了变化在下一次读或写时访问权就会被撤销掉。
有很多时候访问权是不会被撤销的如内存映像的文件访问和未完成的异步I/O请求在SELinux中很可能还会对撤销支持进程增强但不可能覆盖全部范围部分是由于unix应用程序编程接口API的性质决定的部分是由于社区反对对内核子系统做入侵性的改变还有部分是由于任务本身的复杂性。
通常通过设计系统不重新标记客体实现可以避免大多数撤销问题SELinux提供了许可relabelfrom和relabelto来限制这个能力。 2文件客体类别许可
文件客体类别有三类许可直接映像到标准Linux访问控制许可的许可、标准Linux许可的扩展和SELinux特定的许可。下表列出了与文件有关的客体类别许可即file客体类别许可
许可描述append附加到文件内容即用O_APPEND标记打开create创建一个新文件entrypoint*通过域转换可以用作新域的入口点的文件execmod*使被修改过的文件可执行含有写时复制的意思execute执行与标准Linux下的x访问权限一致execute_no_trans*在访问者域转换的执行文件即没有域转换getattr获取文件的属性如访问模式例如stat、部分ioctlsioctlioctl(2)系统调用请求link创建一个硬链接lock设置和清除文件锁mounton用作挂载点quotaon允许文件用作一个限额数据库read读取文件内容对应标准Linux下的r访问权relabelfrom从现有类型改变安全上下文relabelto改变新类型的安全上下文rename重命名一个硬链接setattr改变文件的属性如访问模式例如chmod、部分ioctlsswapon不赞成使用。其用于将文件当作换页/交换空间unlink移除硬链接删除write写入文件内容对应标准Linux下的w访问权
注上表中execute_no_trans、entrypoint和execmod是特定给file客体类别的这些许可都加了星号*。
