【发布时间】:2018-12-07 14:59:01
【问题描述】:
特殊类型的允许规则
我已经从具有自定义上下文的可执行文件创建了正在运行的守护进程,例如:
system_u:system_r:daemon_name_t
它将递归遍历整个目录并读取(未打开)这些未知文件(这些文件可以有任何上下文,不仅来自其域),所以我想用 scontext daemon_name_t 和 ANY 目标上下文。
在编写类型强制规则时,我希望它尽可能地限制。我不想给它上下文unconfined_t。
例如,如果我需要允许getattr 和read 操作,我想得到这个效果:
allow daemon_name_t { * } :file { getattr read };
我找不到任何可能的方法来使用SELinux 执行此操作。这甚至可能吗?任何帮助表示赞赏。
编辑:我发现有一种方法可以像这样对 file_type 强制执行允许规则:
allow daemon_name_t file_type:{type1 type2} {getattr read};
目前对我来说已经足够了,但如果有更好的解决方案,我会很高兴。
【问题讨论】:
标签: linux redhat fedora selinux