SELinux零知识学习二十五、SELinux策略语言之类型强制(10)
接前一篇文章:SELinux零知识学习二十四、SELinux策略语言之类型强制(9)
二、SELinux策略语言之类型强制
3. 访问向量规则
AV规则就是按照对客体类别的访问许可指定具体含义的规则,SELinux策略语言目前支持四类AV规则:
- allow:表示允许主体对客体执行允许的操作。
- neverallow:表示不允许主体对客体执行指定的操作。
- auditallow:表示允许操作并记录访问决策信息。
- dontaudit:表示不记录违反规则的决策信息,且违反规则不影响运行。
(2)允许(allow)规则
到目前为止,你已经看到了许多allow规则。allow规则是策略中最常见的规则,它实现了SELinux策略的主要目的(即访问许可)。
我们使用allow规则指出了所有运行时授予的许可,它们是SELinux策略中允许许可的唯一方法。记住,默认情况下,不允许任何访问。我们指定了两个类型列表(源和目标类型),根据列出的客体类别的许可指定访问权,如:
allow user_t bin_t : file { read execute };这个规则允许任何安全上下文中