接前一篇文章:SELinux零知识学习二十五、SELinux策略语言之类型强制(10)
二、SELinux策略语言之类型强制
3. 访问向量规则
AV规则就是按照对客体类别的访问许可指定具体含义的规则,SELinux策略语言目前支持四类AV规则:
- allow:表示允许主体对客体执行允许的操作。
- neverallow:表示不允许主体对客体执行指定的操作。
- auditallow:表示允许操作并记录访问决策信息。
- dontaudit:表示不记录违反规则的决策信息,且违反规则不影响运行。
(4)永不允许(neverallow)规则
最后一个AV规则是neverallow规则,此规则用来指定永远不会被允许(allow)规则执行的访问。你可能会疑惑,为什么会有这个规则?因为默认情况下,所有的访问都是被拒绝的,设计这个规则的主要目的是为了帮助编写策略时,可以明确地指出不想要的访问许可,因此可以预防意外发生。回想一下,在一个SELinux策略中可能包含成千上万条规则,其中可能不小心加入了我们本不想授予的访问权,此时,neverallow规则就可以帮助预防这种情况发生了。如:
ne