SELinux 用户登录管理与文件上下文控制全解析
1. 用户登录管理
在系统处于宽容模式时,sepermit.conf文件提供了三种方式来记录哪些用户将被拒绝访问:
- 普通用户名
- 以@符号为前缀的组名
- 以%符号为前缀的SELinux用户名
每种方式都单独占一行,并且可以添加一到两个选项,这些选项的详细信息记录在sepermit.conf手册页中。
要启用pam_sepermit,只需在认证PAM服务中启用该模块:
auth required pam_sepermit.so需要注意的是,当切换到宽容模式时,不要忘记移除所有活跃的用户会话,否则正在运行的会话将不受影响。
2. 多实例化目录
pam_namespace.so是我们要介绍的最后一个PAM模块。在深入了解如何配置该模块之前,先了解一下多实例化的概念。多实例化是一种方法,当用户登录系统时,他可以获得特定于其会话的文件系统资源视图,同时隐藏其他用户的资源。这与常规的访问控制不同,在常规访问控制中,其他资源仍然可见,但可能无法访问。
该模块使用Linux内核命名空间技术,为用户会话强制提供一个隔离且特定的文件系统视图,其他用户对文件系统有不同的视图。
例如,假设除了root用户外
