深入解析SELinux对象标签机制
1. 网络与套接字对象标签
网络和套接字对象通过策略语句和初始安全标识符(SID)进行标签设置,目前没有程序请求标签的机制。以下是相关的策略标签语句及其对应的对象类:
| SELinux策略语句 | Linux资源与SELinux对象类 |
| ---- | ---- |
| netifcon | 网络接口:netif |
| nodecon | 代表网络主机的IP地址:node |
| portcon | 网络套接字:tcp_socket(仅name_bind、recv_msg和send_msg),udp_socket(仅name_bind、recv_msg和send_msg),rawip_socket(仅recv_msg和send_msg) |
1.1 网络接口标签(netifcon)
网络接口可以使用网络接口安全上下文语句(netifcon)或netif初始SID进行标签设置。例如:
netifcon eth0 system_u:object_r:netif_t system_u:object_r:packet_t此语句为网络设备eth0提供了安全上下文system_u:object_r:netif_t,并将该接口接收的数据包的默认标签设置为system_u:object_r:packet_t。不过,目前默认数据包标签未被使用,正在等待逐包标签支持。
ne
