S008SELinux的约束操作

约束(constraints),是SELinux很有用的特新,它的使用十分普遍。很多时候,用户觉得约束是一种添加到黑名单上,并使其受限的方法。当然前提是默认允许,约束它告诉人们的是在指定情况下这是不允许的。但是在SELinux中,这种感觉是不准确的。SELinux中,约束更像是过滤器,它遵循白名单的方法。SELinux中的约束(constraints)是在指定的情况下允许某些操作,不匹配要求的操作则被禁止。

但是话又说回来,如果没有针对操作定义约束(constraints),SELinux是允许操作执行的(当然需通过其他检查,比如类型强制规则)。 约束(constraints)和类型强制(TE)的区别

类型强制使用安全上下文中的类型字段(第三部分)。不同于类型强制,约束则在规则中使用整个上下文,比起域(domains)对于操作更加有针对性。比如以下例子:

CODE SELinux object identity change constraint

constrain dir_file_class_set{create relabelto relabelfrom}  
(  
        u1 == u2  
        or t1 ==can_change_object_identity  
);  

上面看到的是一条约束,它描述了如果两个上下文中的SELinux部分一致(u1==u2)或者如果域被分配了can_change_object_identity属性,则域可以创建、重打标签目录和文件。这里的属性可以使用seinfo工具进行查询:

user $seinfo -acan_change_object_identity –x  

如果不满足这些限制,操作将会被拒绝。哪怕通过其他的类型强制规则明确运行此操作。

SELinux中的约束

SELinux使用约束来修整它的策略。它的很多特性都是通过约束(constraints)来实现的,基于用户访问控制(User-based access control)便是其中之一。MLS和MCS很多的规则也是通过约束来实现的。修改约束需要认真斟酌。很多情况下,如果需要修改,它将会放入发布版本的基础策略中一起构建。 罗列约束

可以使用seinfo工具来显示系统中的约束。但是它立刻返回的是完全展开的输出,使用的是数学表达式上的语法。如下所示:

user $seinfo --constrain  
constrain{ file } { create relabelfrom relabelto }  
(  u1 u2 == t1 { logrotate_t policykit_auth_t sysadm_t lvm_t rpm_t xdm_t krb5kdc_tnewrole_t portage_t  
local_login_trpm_script_t sysadm_passwd_t policykit_t portage_sandbox_t groupadd_t kpropd_tpasswd_t  
updpwd_tchfn_t cupsd_t gssd_t httpd_t slapd_t sshd_t udev_t virtd_t puppetmaster_trestorecond_t  
setfiles_tkadmind_t sulogin_t useradd_t } ==  || );  

需要记住

  1. 约束是SELinux策略中完整的部分
  2. 当某些操作被拒绝时,即使有相应的TE规则也被拒绝。此时很有可能是约束的限制
  3. 约束使用白名单方法,满足约束则被允许

参考链接

  1. SELinux/Tutorials/Putting constraints on operations

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏李家的小酒馆

Linux基本命令

Linux 基本命令 下面为基本可以使用到的命令,只添加了一些常用的参数。 1.cd:切换目录 cd /root 2.mkdir:创建文件 mkdir /roo...

2360
来自专栏Java 技术分享

Hibernate Session总结

1336
来自专栏大数据

scrapy如何顺序执行多个爬虫

scrapy如何单线程顺序执行多个爬虫,刚开始我天真的以为将多个excute顺序罗列就能依次执行每个爬虫了,代码如下所示: ? 谁料,在执行完第一个爬虫之后,...

58310
来自专栏极客生活

数据分析Excel之去重

默认是所有列对比,也就是将所有列看成一个元组,全都相同才算重复。 比如上图中,由于「全选」,只有一个重复值就是20行和21行,点击「删除重复项」即可。

761
来自专栏王二麻子IT技术交流园地

CentOS yum安装Apache + PHP + Tomcat7 + MySQL

可以参考下文在CentOS安装Apache + PHP + Tomcat7 + MySQL。 ---------------------------------...

7285
来自专栏流柯技术学院

linux系统新建用户ssh远程登陆显示-bash-4.1$解决方法

linux系统新建的用户用ssh远程登陆显示-bash-4.1$,不显示用户名路径

2434
来自专栏JavaEdge

git配置0 配置 用户信息1 配置 行尾和颜色2 有用的设置

2965
来自专栏ImportSource

厕读:每日一题,面试无忧

9. volatile关键字是否能保证线程安全?() 答案:不能 解析:volatile关键字用在多线程同步中,可保证读取的可见性,JVM只是保证从主内存加载到...

32910
来自专栏抠抠空间

Linux文件操作相关命令

1630
来自专栏我是攻城师

Nodejs笔记(二)

3617

扫码关注云+社区

领取腾讯云代金券