基于角色的控制
每一个角色,都和一定的类型相关联,也就是说这个角色可以控制相关联类型的操作,如下图所示

auditadm用户和selinux auditadm_u用户相关联,auditadm_u用户和auditadm_r角色相关联。
auditadm_r角色相关联的类型,通过seinfo -xr auditadm_r可以看到。
也就是当你以auditadm用户登录时,你能操作auditadm_r相关的类型。
示例
因为auditadm用户不能控制default_t类型,所以开启enforcing时,ipsec,ldk_output , .ver_comp这三个目录和文件,上下文展示的都是?号。

我们进去ipsec不能进去ipsec目录

当permissive时,则能看到上下文

可以进入ipsec目录

本文详细解释了SELinux中的角色基础,阐述了如何通过关联的角色控制特定类型操作。通过审计adm用户实例,展示了在enforcing和permissive模式下对不同类型的权限差异,以及如何查看角色关联的类型。关键概念包括auditadm_r角色、默认上下文和不同安全级别下的文件操作权限。
714

被折叠的 条评论
为什么被折叠?



