客服中心
業(yè)務(wù)咨詢
技術(shù)支持
在線客服
在/proc和/selinux文件系統(tǒng)中的策略
添加時(shí)間:2010-11-13
添加:
admin
在/proc和/selinux文件系統(tǒng)中的策略
文件系統(tǒng)/proc將進(jìn)程的安全屬性設(shè)置記錄在/proc/
^-^$ ls /proc/1/attr
current exec fscreate keycreate prev sockcreate
^-^$ cat current
system_u:system_r:init_t:s0
^-^$ cat prev
system_u:system_r:kernel_t:s0
其中,current表示當(dāng)前的安全上下文。pre表示在上次執(zhí)行前的上下文,即調(diào)用這個(gè)進(jìn)程的上下文,init進(jìn)程重執(zhí)行了自己,域從kernel_t轉(zhuǎn)移到init_t。exec表示下一次執(zhí)行的上下文,fscreate表示被這個(gè)進(jìn)程創(chuàng)建的新文件使用的上下文,sockcreate表示被這個(gè)進(jìn)程創(chuàng)建的socket使用的上下文。
一個(gè)授權(quán)的應(yīng)用程序調(diào)用函數(shù)setfscreatecon寫一個(gè)安全上下文到文件/proc/self/attr/fscreate中,它能覆蓋任何已描述的標(biāo)識規(guī)則。這項(xiàng)操作還必須得到策略的允許。這個(gè)上下文能被用來標(biāo)識下一個(gè)新創(chuàng)建的文件對象,且這個(gè)fscreate 在下一次執(zhí)行或setfscreatecon(NULL)后自動(dòng)復(fù)位。這保證了程序從一個(gè)已知的狀態(tài)啟動(dòng),而不必關(guān)心在/proc/self/attr/fscreate中以前的程序留下的上下文。
文件系統(tǒng)selinuxfs掛接在/selinux/下,它是與內(nèi)核SELinux進(jìn)行策略交互的接口,提供了SELinux的策略API給用戶空間。庫libselinux從這個(gè)文件系統(tǒng)抽象了接口函數(shù)給應(yīng)用程序使用,用來裝載策略、激活或關(guān)閉SELinux以及進(jìn)行AVC策略檢查等。文件系統(tǒng)selinuxfs的目錄樹列出如下:
^-^$ tree /selinux
/selinux
|-- access
|-- avc
| |-- cache_stats
| |-- cache_threshold
| `-- hash_stats
|-- booleans
| |-- NetworkManager_disable_trans
| |-- allow_cvs_read_shadow
| |-- allow_daemons_use_tty
| |-- allow_execheap
......
| |-- xend_disable_trans
| |-- xfs_disable_trans
| |-- xm_disable_trans
| |-- ypbind_disable_trans
| |-- yppasswdd_disable_trans
| |-- ypserv_disable_trans
| |-- ypxfr_disable_trans
| `-- zebra_disable_trans
|-- checkreqprot
|-- commit_pending_bools
|-- compat_net
|-- context
|-- create
|-- disable
|-- enforce
|-- load
|-- member
|-- mls
|-- null
|-- policyvers
|-- relabel
`-- user
文件安全上下文存在文件擴(kuò)展屬性的security.selinux參數(shù)中,當(dāng)任何主體請求一個(gè)文件的SELinux類型時(shí),它從這個(gè)域中讀出安全上下文。
庫libselinux通過selinuxfs文件系統(tǒng)提供了與內(nèi)核SELinux接口的抽象層,應(yīng)用程序通過這個(gè)庫接口,可查詢內(nèi)核中策略信息或?qū)⒉呗栽O(shè)置到內(nèi)核中。
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解
