9、SELinux访问向量规则详解

SELinux访问向量规则详解

1. 访问向量规则概述

访问向量（AV）规则是用于根据对象类的访问权限来明确规则含义的规则。SELinux策略语言目前支持四种类型的AV规则：
-allow：指定两种类型之间允许的访问。
-dontaudit：指定不记录的访问拒绝消息。
-auditallow：指定要记录的允许访问事件。
-neverallow：指定任何允许规则都不能授予的访问权限。

2. 通用AV规则语法

所有AV规则都有相同的基本语法，每个规则包含五个元素：
|元素|描述|
| ---- | ---- |
|规则名称|allow、dontaudit、auditallow或neverallow|
|源类型|被授予访问权限的类型，通常是尝试访问的进程的域类型|
|目标类型|源类型被授予访问权限的对象的类型|
|对象类|指定访问被允许的对象类|
|权限|源类型被允许对目标类型的指定对象类的特定访问权限（也称为访问向量）|

简单的AV规则示例：

allow user_t bin_t : file execute;

此规则中，源类型是user_t，目标类型是bin_t，对象类是file