SELinux セキュリティポリシー

/ .trash / Comment[0]
SELinuxではC語のようにポリシーソースファイルをコンパイルすることにより、セキュリティポリシファイルを作成する。

 オブジェクトクラス,アクセスベクタの定義ファイル・TEファイル・RBACファイル・ユーザ定義ファイル・セキュリティコンテキスト定義ファイルなど(定義ファイルは管理を容易にするために、種類ごとに別ファイルに保存されている)
    ↓
 catコマンドで連結
    ↓
 policy.confとする
    ↓
 checkpolicyコマンド
    ↓
 バイナリポリシーファイルpolicy.24の出来上がり
(policy.**の下二桁はポリシー言語のバージョン)


contexts/files/file_contexts ファイルに付与するセキュリティコンテキストの定義ファイル
/.*	system_u:object_r:default_t:s0
/mnt(/[^/]*) -l system_u:object_r:mnt_t:s0
/mnt(/[^/]*)? -d system_u:object_r:mnt_t:s0
/bin/.* system_u:object_r:bin_t:s0
/dev/.* system_u:object_r:device_t:s0
/var/.* system_u:object_r:var_t:s0
/tmp/.* <>
/usr/.* system_u:object_r:usr_t:s0
/srv/.* system_u:object_r:var_t:s0
/sys/.* <>
/opt/.* system_u:object_r:usr_t:s0
/etc/.* system_u:object_r:etc_t:s0
/lib/.* system_u:object_r:lib_t:s0
/dev/[0-9].* -c system_u:object_r:usb_device_t:s0
/mnt/[^/]*/.* <>
/dev/.*mouse.* -c system_u:object_r:mouse_device_t:s0
/dev/.*tty[^/]* -c system_u:object_r:tty_device_t:s0
/dev/[shmx]d[^/]* -b system_u:object_r:fixed_disk_device_t:s0
/var/[xgk]dm(/.*)? system_u:object_r:xserver_log_t:s0
/dev/(misc/)?psaux -c system_u:object_r:mouse_device_t:s0
/dev/(raw/)?rawctl -c system_u:object_r:fixed_disk_device_t:s0
/opt/(.*/)?bin(/.*)? system_u:object_r:bin_t:s0
/usr/(.*/)?Bin(/.*)? system_u:object_r:bin_t:s0
/usr/(.*/)?bin(/.*)? system_u:object_r:bin_t:s0
/opt/(.*/)?lib(/.*)? system_u:object_r:lib_t:s0
/usr/(.*/)?lib(/.*)? system_u:object_r:lib_t:s0
/opt/(.*/)?man(/.*)? system_u:object_r:man_t:s0
/dev/(misc/)?agpgart -c system_u:object_r:agp_device_t:s0
/usr/(.*/)?sbin(/.*)? system_u:object_r:bin_t:s0
/opt/(.*/)?sbin(/.*)? system_u:object_r:bin_t:s0
/opt/(.*/)?jre/.+\.jar -- system_u:object_r:lib_t:s0
/usr/(s)?bin/[xgkw]dm -- system_u:object_r:xdm_exec_t:s0
:
書式: ファイル名 フラグ セキュリティコンテキスト
関連記事

コメント

:
:
:
:
:
管理人のみ表示を許可