4.1 在SELinux中客体类存在的目的

简介: 版权声明:您好,转载请留下本人博客的地址,谢谢 https://blog.csdn.net/hongbochen1223/article/details/47748861 客体类和他...
版权声明:您好,转载请留下本人博客的地址,谢谢 https://blog.csdn.net/hongbochen1223/article/details/47748861

客体类和他们相关的权限是SELinux中访问控制的基础.客体类代表着是资源的类别例如文件和套接字,并且权限代表着对这些资源的访问,例如读和发送.理解客体类和权限是SELinux中一个比较困难的方面,因为他继续要Linux的知识,也需要SELinux的知识.

一个客体类代表着一个确定类型的所有的资源(例如文件或者是套接字).一个客体类的实例(例如,一个特定的文件或者是套接字)简单的称作一个对象.通常术语客体类和对象可以互换使用,但是理解他们之间的不同是非常重要的.客体类指的是整个资源的类别(file),对象指的是客体类中一个特定的实例(/etc/passwd).

正如我们在第二章讨论的那样,”Concepts,”在策略中通过对具有指定类型的客体类的权限来描述对对象的访问.为了阐述明白,我们来考虑下面的规则.

allow user_t bin_t:file{read execute getattr};

在这条规则中,类型为user_t的进程(也就是资源或主体)被允许对所有具有目标类型bin_t的客体类实体进行读取,执行和获取其属性操作.客体类文件指定资源的类别,bin_t指定哪一个资源类别的实体来应用那一条规则(也就是说,这些类型为bin_t的文件实体).他不应用那些有bin_t类型但不是文件类也不应用到是文件实体但没有bin_t类型来作为他们的类型.

在这条规则中的权限,读,执行和获取属性定义了允许那些拥有user_t类型的主体去访问这些客体.这些对文件客体类都是有效的权限中的每一个都代表着对对象访问的一些方式.(例如,read 权限需要使用open(2)系统调用来打开文件进行读取等).这些为客体类定义的权限的集合(也被称为访问向量)代表着多有可能的访问,这些对那些客体类所代表的资源访问能够被允许.

客体类的集合依赖于SELinux的版本和Linux集合.随着时间的推移,新的和不同的客体类已经发展了新的和改变了的内核特征.例如,新版版的Linux内核已经为控制audit框架引进了一个新的Netlink-specific 套接字.对于这些支持Netlink-specific的内核,会有一个带有适当权限的SELinux客体类被定义.

目录
相关文章
|
2月前
|
域名解析 负载均衡 网络协议
Linux网络接口配置不当所带来的影响
总而言之,Linux网络接口的恰当配置是保证网络稳定性、性能和安全性的基础。通过遵循最佳实践和定期维护,可以最大程度地减少配置错误带来的负面影响。
145 0
|
3月前
|
前端开发 开发者 数据格式
|
6月前
|
SQL 数据安全/隐私保护
怎样解决上下级关系文件查看的权限控制问题
怎样解决上下级关系文件查看的权限控制问题
50 0
|
数据安全/隐私保护
内网渗透 -- 添加域服务
内网渗透 -- 添加域服务
117 0
内网渗透 -- 添加域服务
|
监控 安全 网络协议
Juniper 命令集合,分好类了,网工收好了哦!
Juniper 命令集合,分好类了,网工收好了哦!
192 0
|
安全 Apache
18.12 SELinux策略规则查看的方法
我们知道,当前 SELinux 的默认策略是 targeted,那么这个策略中到底包含有多少个规则呢?使用 seinfo 命令即可查询。命令如下:
556 0
18.12 SELinux策略规则查看的方法
|
Shell 网络虚拟化 网络协议