日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

首先，通過一個實(shí)例看看如何查看文件和目錄的安全上下文，執(zhí)行命令如下：

[root@localhost ~]# ls -Z
#使用選項(xiàng)-Z查看文件和目錄的安全上下文
-rw-------．root root system_u：object_r：admin_home_t：s0 anaconda-ks.cfg
-rw-r--r--．root root system_u：object_r：admin_home_t：s0 install.log
-rw-r--r--．root root system_u：object_r：admin_home_t：s0 install.log.syslog

可以看到，查看文件的安全上下文非常簡單，就是使用“l(fā)s -Z”命令。而在此基礎(chǔ)上，如果想要查看目錄的安全上下文，需要添加“-d”選項(xiàng)，代表查看目錄本身，而非目錄下的子文件。舉個例子：

[root@localhost ~]# ls -Zd /var/www/html/
drwxr-xr-x．root root system_u：object_r：httpd_sys_content_t：s0 /var/www/html/

那么，該如何查看進(jìn)程的安全上下文呢？只需使用 ps 命令即可。命令如下：

[root@localhost ~]# service httpd start
#啟動apache服務(wù)
[root@localhost ~]# ps auxZ | grep httpd
unconfined_u：system_r：httpd_t：s0 root 25620 0.0 0.5 11188 3304 ? Ss
03：44 0：02 /usr/sbin/httpd
…省略部分輸出…

也就是說，只要進(jìn)程和文件的安全上下文匹配，該進(jìn)程就可以訪問該文件資源。在上面的命令輸出中，我們加粗的就是安全上下文。

安全上下文看起來比較復(fù)雜，它使用“：”分隔為 4 個字段，其實(shí)共有 5 個字段，只是最后一個“類別”字段是可選的，例如：

system_u：object_r：httpd_sys_content_t：s0：[類別]
#身份字段：角色：類型：靈敏度：[類別]

下面對這 5 個字段的作用進(jìn)行說明。

1) 身份字段（user)

用于標(biāo)識該數(shù)據(jù)被哪個身份所擁有，相當(dāng)于權(quán)限中的用戶身份。這個字段并沒有特別的作用，知道就好。常見的身份類型有以下 3 種：

1. - root：表示安全上下文的身份是 root。
2. - system_u：表示系統(tǒng)用戶身份，其中“_u”代表 user。
3. - user_u：表示與一般用戶賬號相關(guān)的身份，其中“_u”代表 user。

user 字段只用于標(biāo)識數(shù)據(jù)或進(jìn)程被哪個身份所擁有，一般系統(tǒng)數(shù)據(jù)的 user 字段就是 system_u，而用戶數(shù)據(jù)的 user 字段就是 user_u。

那么，SELinux 中到底可以識別多少用戶身份字段呢？我們可以使用 seinfo 命令來進(jìn)行查詢。SELinux 的相關(guān)命令一般都是以“se”開頭的，所以也較為好記。

seinfo 命令格式如下：

[root@localhost ~]# seinfo [選項(xiàng)]
選項(xiàng)：
-u： 列出SELinux中所有的身份（user）；
-r： 列出SELinux中所有的角色（role）；
-t： 列出SELinux中所有的類型（type）；
-b： 列出所有的布爾值（也就是策略中的具體規(guī)則名稱）；
-x： 顯示更多的信息；

seinfo 命令的功能較多，我們在這里只想查詢 SELinux 中的身份，那么只需執(zhí)行如下命令：

[root@localhost ~]# seinfo -u
Users：9
sysadm_u
system_u
xguest_u
root
guest_u
staff_u
user_u
unconfined_u
git_shell_u

就可以看到 SELinux 中能夠識別的 user 身份共有 9 種。不過這個字段在實(shí)際使用中并沒有太多的作用，了解一下即可。

2) 角色（role）

主要用來表示此數(shù)據(jù)是進(jìn)程還是文件或目錄。這個字段在實(shí)際使用中也不需要修改，所以了解就好。

常見的角色有以下兩種：

• - object_r：代表該數(shù)據(jù)是文件或目錄，這里的“_r”代表 role。
• - system_r：代表該數(shù)據(jù)是進(jìn)程，這里的“_r”代表 role。

那么，SELinux 中到底有多少種角色呢？使用 seinfo 命令也可以查詢，命令如下：

[root@localhost ~]# seinfo -r
Roles：12
guest_r
staff_r
user_r
git_shell_r
logadm_r
object_r
sysadm_r
system_r
webadm_r
xguest_r
nx_server_r
unconfined_r

3) 類型（type）

類型字段是安全上下文中最重要的字段，進(jìn)程是否可以訪問文件，主要就是看進(jìn)程的安全上下文類型字段是否和文件的安全上下文類型字段相匹配，如果匹配則可以訪問。

注意，類型字段在文件或目錄的安全上下文中被稱作
類型（type），但是在進(jìn)程的安全上下文中被稱作
域（domain）。也就是說，在主體（Subject）的安全上下文中，這個字段被稱為域；在目標(biāo)（Object）的安全上下文中，這個字段被稱為類型。域和類型需要匹配（進(jìn)程的類型要和文件的類型相匹配），才能正確訪問。

SELinux 中到底有多少類型也是通過 seinfo 命令查詢的，命令如下：

[root@localhost ~]# seinfo -t | more
Types：3488
#共有3488個類型
bluetooth_conf_t
cmirrord_exec_t
foghorn_exec_t
jacorb_port_t
sosreport_t
etc_runtime_t
…省略部分輸出…

我們知道了類型的作用，可是我們怎么知道進(jìn)程的域和文件的類型是否匹配呢？這就要查詢具體的策略規(guī)則了，我們在后面再進(jìn)行介紹。

不過，我們已知 apache 進(jìn)程可以訪問 /var/www/html/（此目錄為 RPM 包安裝的 apache 的默認(rèn)網(wǎng)頁主目錄）目錄中的網(wǎng)頁文件，所以 apache 進(jìn)程的域和 /var/www/html/ 目錄的類型應(yīng)該是匹配的，我們查詢一下，命令如下：

[root@localhost ~]# ps auxZ | grep httpd
unconfined_u：system_r：httpd_t：s0 root 25620 0.0 0.5 11188 3304 ? Ss
03：44 0：02 /usr/sbin/httpd
#apache進(jìn)程的域是httpd_t
[root@localhost ~]# ls -dZ /var/www/html/
drwxr-xr-x．root root system_u：object_r：httpd_sys_content_t：s0 /var/www/html/
#/var/www/html/目錄的類型是httpd_sys_content_t

apache 進(jìn)程的域是 httpd_t，/var/www/html/ 目錄的類型是 httpd_sys_content_t，這個主體的安全上下文類型經(jīng)過策略規(guī)則的比對，是和目標(biāo)的安全上下文類型匹配的，所以 apache 進(jìn)程可以訪問 /var/www/html/ 目錄。

我們在 SELinux 中最常遇到的問題就是進(jìn)程的域和文件的類型不匹配，所以我們一定要掌握如何修改類型字段。

4) 靈敏度

靈敏度一般是用 s0、s1、s2 來命名的，數(shù)字代表靈敏度的分級。數(shù)值越大，代表靈敏度越高。

5) 類別

類別字段不是必須有的，所以我們使用 ls 和 ps 命令查詢的時候并沒有看到類別字段。但是我們可以通過 seinfo 命令來查詢，命令如下：

[root@localhost ~]# seinfo -u -x
#查詢所有的user字段，并查看詳細(xì)信息
system_u
#user字段名
default level：s0
#默認(rèn)靈敏度
range：s0 - s0：c0.c1023
#靈敏度可以識別的類別
roles：
#該user能夠匹配的role（角色）
object_r
system_r
unconfined_r