接前一篇文章：SELinux零知识学习二十五、SELinux策略语言之类型强制（10）

二、SELinux策略语言之类型强制

3. 访问向量规则

AV规则就是按照对客体类别的访问许可指定具体含义的规则，SELinux策略语言目前支持四类AV规则：

• allow：表示允许主体对客体执行允许的操作。
• neverallow：表示不允许主体对客体执行指定的操作。
• auditallow：表示允许操作并记录访问决策信息。
• dontaudit：表示不记录违反规则的决策信息，且违反规则不影响运行。

（4）永不允许（neverallow）规则

最后一个AV规则是neverallow规则，此规则用来指定永远不会被允许（allow）规则执行的访问。你可能会疑惑，为什么会有这个规则？因为默认情况下，所有的访问都是被拒绝的，设计这个规则的主要目的是为了帮助编写策略时，可以明确地指出不想要的访问许可，因此可以预防意外发生。回想一下，在一个SELinux策略中可能包含成千上万条规则，其中可能不小心加入了我们本不想授予的访问权，此时，neverallow规则就可以帮助预防这种情况发生了。如：

ne