深入理解与操作SELinux策略
1. 利用sepolicy generate创建应用策略
对于应用程序而言,sepolicy generate命令需要将主命令作为参数传入,以此生成一个简单的文件上下文(.fc)文件。此外,sepolicy generate还支持以下与应用相关的模板:
---application:生成标准的命令行应用策略。
---dbus:生成由D - Bus管理的应用程序策略。
---inetd:生成由inetd操作的系统服务域(守护进程)策略。
---init:生成系统服务域(守护进程)策略。
2. 替换现有SELinux策略
当添加自定义SELinux策略时,用户只能添加更多的允许规则,因为SELinux没有用于从活动策略中移除当前允许访问规则的拒绝规则。若当前策略过于宽松,管理员需要更新策略而非仅仅增强它,这就要求管理员能够访问当前使用的SELinux策略规则。替换现有策略依赖于SELinux用户空间实用程序(较新的版本支持基于优先级的加载)和当前策略的来源,下面分别介绍RHEL和Gentoo Linux的替换方法。
2.1 替换RHEL策略
要替换活动的Red Hat策略,可按以下步骤操作:
1.确定当前SELinux策略的版本:
