ÕÆÎÕSELinuxÕ½ÂÔÖÖ±ð
SELinuxÊÇÒ»ÖÖ»ùÓÚMandatory Access Control£¨MAC£©µÄÇå¾²»úÖÆ£¬ÓÃÓÚÏÞÖƳÌÐòºÍÓû§¶Ôϵͳ×ÊÔ´µÄ»á¼û¡£ÔÚSELinuxÖУ¬Õ½ÂÔÀàÐÍÊÇÓÃÀ´½ç˵ºÍ¿ØÖƹ¤¾ßµÄ»á¼ûȨÏÞµÄÖ÷Òª¿´·¨Ö®Ò»¡£±¾ÎĽ«ÏÈÈÝSELinuxÖеÄÕ½ÂÔÀàÐÍ£¬²¢Í¨¹ýÏêϸµÄ´úÂëʾÀýÀ´×ÊÖú¶ÁÕ߸üºÃµØÃ÷È·¡£
SELinuxÕ½ÂÔÀàÐ͸ÅÊö
ÔÚSELinuxÖУ¬Ã¿¸ö¹¤¾ß£¨Îļþ¡¢Àú³ÌµÈ£©¶¼ÓÐÏìÓ¦µÄÀàÐÍ£¬¶øÕ½ÂÔÀàÐÍÔòÓÃÀ´½ç˵²î±ðÀàÐÍÖ®¼äµÄ»á¼û¹æÔò¡£Õ½ÂÔÀàÐÍÀàËÆÓÚ¡°±êÇ©¡±£¬ÓÃÀ´Çø·Ö²î±ðµÄ¹¤¾ß£¬²¢¾öÒéËüÃÇÖ®¼äµÄ¹Øϵ¡£Í¨¹ý½ç˵²î±ðÕ½ÂÔÀàÐÍÖ®¼äµÄÔÊÐí»ò¾Ü¾ø»á¼û¹æÔò£¬¿ÉÒÔʵÏÖϸÁ£¶ÈµÄ»á¼û¿ØÖÆ¡£
ÔÚSELinuxÖУ¬³£¼ûµÄÕ½ÂÔÀàÐÍÓÐÒÔϼ¸ÖÖ£º
user_t£ºÓÃÓÚÌåÏÖÓû§ÀàÐÍ£¬Ã¿¸öÓû§¶¼ÓжÔÓ¦µÄuser_tÀàÐÍ£»
role_t£ºÓÃÓÚÌåÏÖ½ÇÉ«ÀàÐÍ£¬Ã¿¸ö½ÇÉ«¶¼ÓжÔÓ¦µÄrole_tÀàÐÍ£»
type_t£ºÓÃÓÚÌåÏÖ¹¤¾ßÀàÐÍ£¬ÈçÎļþ¡¢Ä¿Â¼¡¢Àú³ÌµÈ£»
level_t£ºÓÃÓÚÌåÏÖÇå¾²¼¶±ð¡£
ͨ¹ý½çËÃ÷ÈÕâЩսÂÔÀàÐÍ£¬¿ÉÒÔÏÞÖƲî±ðÓû§»ò½ÇÉ«¶Ô²î±ðÀàÐ͹¤¾ßµÄ»á¼ûȨÏÞ£¬´Ó¶øÌá¸ßϵͳµÄÇå¾²ÐÔ¡£
SELinuxÕ½ÂÔÀàÐÍ´úÂëʾÀý
ΪÁ˸üÖ±¹ÛµØÃ÷È·SELinuxÖеÄÕ½ÂÔÀàÐÍ£¬ÏÂÃæÒÔÒ»¸ö¼òÆӵĴúÂëʾÀýÀ´ËµÃ÷¡£¼ÙÉèÎÒÃÇÒª½ç˵һ¸öSELinuxÕ½ÂÔÀàÐÍ£¬ÏÞÖÆÒ»¸öÓû§Ö»ÄܶÁȡij¸öÌض¨Îļþ¼ÐϵÄÎļþ¡£
Ê×ÏÈ£¬ÎÒÃÇÐèÒª½ç˵һ¸ötype_tÀàÐÍ£¬ÌåÏÖÎļþ¼Ð¹¤¾ß£º
type folder_t;
µÇ¼ºó¸´ÖÆ
È»ºó£¬½ç˵һ¸öuser_tÀàÐÍ£¬ÌåÏÖÓû§¹¤¾ß£º
type user_t;
µÇ¼ºó¸´ÖÆ
½Ó×Å£¬½ç˵һ¸öallow¹æÔò£¬ÔÊÐíuser_tÀàÐ͵ÄÓû§Ö»¶ÁÈ¡folder_tÀàÐ͵ÄÎļþ¼ÐϵÄÎļþ£º
allow user_t folder_t:file { read };
µÇ¼ºó¸´ÖÆ
×îºó£¬ÔØÈë¸ÃÕ½ÂÔÀàÐÍ£¬Ê¹ÆäÉúЧ£º
semanage boolean -m --on user_folder_readonly
µÇ¼ºó¸´ÖÆ
ͨ¹ýÒÔÉÏ´úÂëʾÀý£¬ÎÒÃǽç˵ÁËÒ»¸öÕ½ÂÔÀàÐÍ£¬ÏÞÖÆÁËÌض¨Óû§Ö»ÄܶÔÌض¨Îļþ¼ÐϵÄÎļþ¾ÙÐжÁÈ¡²Ù×÷¡£Í¨¹ýÕâÑùµÄϸÁ£¶È»á¼û¿ØÖÆ£¬¿ÉÒÔÔöǿϵͳµÄÇå¾²ÐÔ£¬È·±£Óû§Ö»ÄÜ»á¼ûÆä±»ÊÚȨµÄ×ÊÔ´¡£
×ܽá
Ã÷È·SELinuxÖеÄÕ½ÂÔÀàÐ͹ØÓÚϵͳÇå¾²ÖÁ¹ØÖ÷Òª¡£Í¨¹ý½ç˵ºÍ¿ØÖÆÕ½ÂÔÀàÐÍ£¬¿ÉÒÔʵÏÖϸÁ£¶ÈµÄ»á¼û¿ØÖÆ£¬Ìá¸ßϵͳµÄÇå¾²ÐÔºÍÎȹÌÐÔ¡£Í¨¹ý±¾ÎĵÄÏÈÈݺʹúÂëʾÀý£¬Ï£Íû¶ÁÕßÃÇÄÜÔ½·¢ÉîÈëµØÏàʶSELinuxÖеÄÕ½ÂÔÀàÐÍ£¬²¢ÔÚʵ¼ùÖмÓÒÔÓ¦Ó㬰ü¹ÜϵͳÇå¾²¡£
ÒÔÉϾÍÊÇÕÆÎÕSELinuxÕ½ÂÔÀà±ðµÄÏêϸÄÚÈÝ£¬¸ü¶àÇë¹Ø×¢±¾ÍøÄÚÆäËüÏà¹ØÎÄÕ£¡