SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7)

接前一篇文章:SELinux零知识学习十二、SELinux策略语言之客体类别和许可(6)

一、SELinux策略语言之客体类别和许可

4. 客体类别许可实例

为了更好地理解许可是如何控制对系统资源的访问的,下面进一步讨论以下两个客体类别和许可:file(见SELinux零知识学习十、SELinux策略语言之客体类别和许可(4))和process(见上一篇文章)。

(1)访问撤销

撤销前面授予的访问权限是创建有关灵活和动态的安全机制非常重要的部分,当策略发生变化或客体安全上下文发生变化时,就需要撤销之前授予的权限。例如:如果某个文件的安全上下文发生了变化,打开那个文件的进程可能不再有相同的访问权,这是由新的策略决定的,系统不得不撤销现有的与变化不一致的访问权。对于复杂的操作系统,确保在所有环境下访问权的撤销是一件困难的任务。

SELinux支持多种环境下的撤销,比标准Linux支持要多得多。例如:每次对文件进行读和写时都会检查文件的访问权,因此,如果文件的安全上下文发生了变化,在下一次读或写时访问权就会被撤销掉。

有很多时候访问权是不会被撤销的,如内存映像的文件访问和未完成的异步I/O请求,在SELinux中很可能还会对撤销支持进程增强,但不可能覆盖全部范围,部分是由于unix应用程序编程接口(API)的性质决定的,部分是由于社区反对对内核子系统做入侵性的改变,还有部分是由于任务本身的复杂性。

通常,通过设计系统不重新标记客体实现,可以避免大多数撤销问题,SELinux提供了许可(relabelfrom和relabelto)来限制这个能力。

(2)文件客体类别许可

文件客体类别有三类许可直接映像到标准Linux访问控制许可的许可标准Linux许可的扩展SELinux特定的许可。下表列出了与文件有关的客体类别许可(即file客体类别许可):

许可描述
append附加到文件内容(即用O_APPEND标记打开)
create创建一个新文件
entrypoint*通过域转换,可以用作新域的入口点的文件
execmod*使被修改过的文件可执行(含有写时复制的意思)
execute执行,与标准Linux下的x访问权限一致
execute_no_trans*在访问者域转换的执行文件(即没有域转换)
getattr获取文件的属性,如访问模式(例如:stat、部分ioctls)
ioctlioctl(2)系统调用请求
link创建一个硬链接
lock设置和清除文件锁
mounton用作挂载点
quotaon允许文件用作一个限额数据库
read读取文件内容,对应标准Linux下的r访问权
relabelfrom从现有类型改变安全上下文
relabelto改变新类型的安全上下文
rename重命名一个硬链接
setattr改变文件的属性,如访问模式(例如:chmod、部分ioctls)
swapon不赞成使用。其用于将文件当作换页/交换空间
unlink移除硬链接(删除)
write写入文件内容,对应标准Linux下的w访问权

注:上表中execute_no_trans、entrypoint和execmod是特定给file客体类别的(这些许可都加了星号*)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/147047.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python项目源码基于django的宿舍管理系统dormitory+mysql数据库文件

基于Django的宿舍管理系统 运行效果 个人亲自制作python项目源码基于django的宿舍管理系统dormitorymysql数据库文件 1. 介绍 宿舍管理系统是一个基于Django框架开发的项目,旨在简化和优化宿舍管理的流程。该系统包括学生和管理员两个角色,学生可以通过…

安装插件时Vscode XHR Failed 报错ERR_CERT_AUTHORITY_INVALID

安装插件时Vscode XHR Failed 报错ERR_CERT_AUTHORITY_INVALID 今天用vscode 安装python插件时报XHR failed,无法拉取应用商城的数据, 报的错如下: ERR_CERT_AUTHORITY_INVALID 翻译过来就是证书有问题 找错误代码的方法: 打开vscode, 按F1…

Swift 如何打造兼容新老系统的字符串分割(split)方法

0. 概览 在 Swift 的开发中,我们经常要与字符串打交道。其中一个常见的操作就是用特定的“分隔符”来分割字符串,这里分隔符可能不仅仅是字符,而是多字符组成的字符串。 从 iOS 16 开始, 新增了对应的方法来专注此事。不过&am…

HBase中的数据表是如何用CHAT进行分区的?

问CHA:HBase中的数据表是如何进行分区的? CHAT回复: 在HBase中,数据表是水平分区的。每一个分区被称为一个region。当一个region达到给定的大小限制时,它会被分裂成两个新的region。 因此,随着数据量的增…

【华为OD题库-026】通过软盘拷贝文件-java

题目 有一名科学家想要从一台古董电脑中拷贝文件到自己的电脑中加以研究。但此电脑除了有一个3.5寸软盘驱动器以外,没有任何手段可以将文件拷贝出来,而且只有一张软盘可以使用。因此这一张软盘是唯一可以用来拷贝文件的载体。科学家想要尽可能多地将计算…

WPF拖拽相关的类

WPF的VisualTreeHelper类是一组静态方法,主要用于在WPF的VisualTree(可视化树)中进行遍历和查找操作。VisualTreeHelper类提供的方法可以帮助开发人员轻松地访问和操作VisualTree中的元素。 以下是VisualTreeHelper类的一些主要功能&#xf…

mac苹果笔记本应用程序在哪?有什么快捷方式吗?

苹果笔记本电脑一直以来都被广泛使用,而苹果的操作系统 macOS 也非常受欢迎。一台好的笔记本电脑不仅仅依赖于硬件配置,还需要丰富多样的应用程序来满足用户的需求。苹果笔记本应用程序在哪,不少mac新手用户会有这个疑问。在这篇文章中&#…

Golang抓包:实现网络数据包捕获与分析

介绍 在网络通信中,网络数据包是信息传递的基本单位。抓包是一种监控和分析网络流量的方法,用于获取网络数据包并对其进行分析。在Golang中,我们可以借助现有的库来实现抓包功能,进一步对网络数据进行分析和处理。 本文将介绍如…

2023.11.14 hivesql的容器,数组与映射

目录 https://blog.csdn.net/m0_49956154/article/details/134365327?spm1001.2014.3001.5501https://blog.csdn.net/m0_49956154/article/details/134365327?spm1001.2014.3001.5501 8.hive的复杂类型 9.array类型: 又叫数组类型,存储同类型的单数据的集合 10.struct类型…

Selenium操作已经打开的Chrome浏览器窗口

Selenium操作已经打开的Chrome浏览器窗口 0. 背景 在使用之前的代码通过selenium操作Chrome浏览器时,每次都要新打开一个窗口,觉得麻烦,所以尝试使用 Selenium 获取已经打开的浏览器窗口,在此记录下过程 本文使用 chrome浏览器来…

vue项目本地开发构建速度优化 hard-source-webpack-plugin

1、为啥要优化本地构建速度 有些项目因为项目需求点多、功能复杂、管理混乱、引入第三方插件/样式库过多、本身项目页面较多、文件较多等等原因,会导致项目体积变大、本地构建速度明显变慢,这时就需要对项目webpack进行一些设置来提高打包效率、加快打包…

场景交互与场景漫游-osgGA库(5)

osgGA库 osgGA库是OSG的一个附加的工具库,它为用户提供各种事件处理及操作处理。通过osgGA库读者可以像控制Windows窗口一样来处理各种事件 osgGA的事件处理器主要由两大部分组成,即事件适配器和动作适配器。osgGA:GUIEventHandler类主要提供了窗口系统的…

系列九、对象的生命周期和GC

一、堆细分 Java堆从GC的角度还可以细分为:新生代(eden【伊甸园区】、from【幸存者0区】、to【幸存者1区】)和老年代。 二、MinorGC的过程 复制>清空》交换 1、eden、from区中的对象复制到to区,年龄1 首先,当eden区…

多标签页之间的通信

解决方案有两种思路&#xff1a;浏览器端解决方案、服务器端解决方案。 一、浏览器端解决方案&#xff1a; 思路&#xff1a;本地数据存储 <!-- index01.html --> <input id"name"> <input type"button" id"btn" value"…

我认为除了HelloWorld之外,Python的三大数据转换实例可以作为开始学习Python的入门语言。

Python的三大数据转换实例 一、反转三位数 class Solution:def funtcion(self,number):hint(number/100)tint(number%100/10)zint(number%10)return 100*z10*th if __name____main__:solution Solution()num123new_num solution.funtcion(num)print("输入:{}".fo…

【仿真动画】ABB IRB 8700 机器人搬运(ruckig在线轨迹生成)动画欣赏

场景 动画 一、IRB 8700简介 二、动画脚本重点分析 2.1 sim.moveToPose 通过在两个 poses 之间执行插值&#xff0c;使用 Ruckig 在线轨迹生成器生成对象运动数据。该函数可以通过处理 4 个运动变量&#xff08;x、y、z 和两个姿势之间的角度&#xff09;或单个运动变量&#…

深度学习数据集—细胞、微生物、显微图像数据集大合集

最近收集了一大波关于细胞、微生物、显微图像数据集&#xff0c;有细胞、微生物&#xff0c;细菌等。 接下来是每个数据的详细介绍&#xff01;&#xff01; 1、12500张血细胞增强图像&#xff08;JPEG&#xff09;数据集 该数据集包含12500张血细胞增强图像&#xff08;JPE…

vscode终端npm install报错

报错如下&#xff1a; npm WARN read-shrinkwrap This version of npm is compatible with lockfileVersion1, but package-lock.json was generated for lockfileVersion2. Ill try to do my best with it! npm ERR! code EPERM npm ERR! syscall open npm ERR! errno -4048…

视频剪辑技巧:轻松搞定视频随机合并,一篇文章告知所有秘诀

在视频制作的过程中&#xff0c;视频随机合并是一种创新的剪辑手法&#xff0c;它打破了传统的线性剪辑模式&#xff0c;使得视频剪辑更加灵活和有趣。通过将不同的视频片段随机组合在一起&#xff0c;我们可以创造出独特的视觉效果和情感氛围。这种剪辑方式让观众在观看视频时…