SELinux 用户登录管理全解析
1. 角色与可访问域
在 SELinux 中,角色定义了与之关联的用户可以访问的域。seinfo工具不仅能显示可用角色,还能借助-x选项列出某个角色可访问的域。示例如下:
# seinfo -rdbadm_r -x dbadm_r Dominated Roles: dbadm_r Types: qmail_inject_t dbadm_t ... user_mail_t此例中,拥有dbadm_r角色的用户,其安全上下文允许他们切换到qmail_inject_t(用于读取电子邮件消息并将其传递到 qmail 队列的域)和user_mail_t(用于通用电子邮件发送命令行应用程序的域)等域。不过,角色主导信息通常并非管理员关注重点,因为尽管 SELinux 核心支持角色主导,但 Linux 发行版策略并未使用该功能。
2. 类别管理
敏感度标签及其关联类别通过数值标识,这对计算机友好,但对用户不直观。幸运的是,SELinux 实用程序支持将级别和类别转换为人类可读的值,即便它们仍以数字形式存储。转换通过/etc/selinux/targeted目录下的setrans.conf文件管理。例如,可在该文件中为特定值(如s0:c102 <
