我是SElinux的新手,希望您的回答如下:
我们如何检查程序的上下文类型是否符合文件的SElinux上下文类型,从而防止拒绝。
例如 / etc / shadow 文件的 shadow_t 与 / usr / sbin / unix_chkpwd 的 chkpwd_t 匹配strong>程序。
非常感谢 Z
答案 0 :(得分:0)
您可以指定上下文之间允许的交互。 SELinux中禁止所有未明确允许的交互。
如果您想允许/usr/sbin/unix_chkpwd读取/etc/shadow,则应该有一个明确允许它的策略:
allow chkpwd_t shadow_t:file getattr open read ioctl lock map;
您可以使用sesearch搜索现有策略。
sesearch --allow --source chkpwd_t --target shadow_t --class file