SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
接前一篇文章:SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7)
一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
(2)文件客体类别许可
文件客体类别有三类许可:直接映像到标准Linux访问控制许可的许可、标准Linux许可的扩展和SELinux特定的许可。下表列出了与文件有关的客体类别许可(即file客体类别许可):
| 许可 | 描述 |
| append | 附加到文件内容(即用O_APPEND标记打开) |
| create | 创建一个新文件 |
| entrypoint* | 通过域转换,可以用作新域的入口点的文件 |
| execmod* | 使被修改过的文件可执行(含有写时复制的意思) |
| execute | 执行,与标准Linux下的x访问权限一致 |
| execute_no_trans* | 在访问者域转换的执行文件(即没有域转换) |
| getattr | 获取文件的属性,如访问模式(例如:stat、部分ioctls) |
| ioctl | ioctl(2)系统调用请求 |
| link | 创建一个硬链接 |
| lock | 设置和清除文件锁 |
| mounton | 用作挂载点 |
| quotaon | 允许文件用作一个限额数据库 |
| read | 读取文件内容,对应标准Linux下的r访问权 |
| relabelfrom | 从现有类型改变安全上下文 |
| relabelto | 改变新类型的安全上下文 |
| rename | 重命名一个硬链接 |
| setattr | 改变文件的属性,如访问模式(例如:chmod、部分ioctls) |
| swapon | 不赞成使用。其用于将文件当作换页/交换空间 |
| unlink | 移除硬链接(删除) |
| write | 写入文件内容,对应标准Linux下的w访问权 |
1)标准Linux许可
- read、write和execute
许可read、write和execute基本上与标准Linux许可的读(r)、写(w)和执行(x)类似,丹玉标准许可检查有些不同,在标准Linux中,访问权通常是在文件打开时进行检查,而在SELinux中,访问权是每次使用时都会检查。
read许可包括了读取整个文件的能力,它包括以一种随机方式访问文件的许可。write许可包括了写入(及附加)文件的许可。与read许可相似,write许可包括了随机访问写。当一个文件被映像到内存中时,也会检查read和write许可。例如:mmap(2)系统调用,或使用mprotect(2)系统调用保护现有映像被改变。
execute许可使用execve(2)系统调用控制执行文件的能力,不管有没有域转换(参考后文的exec_no_trans),它都是必需的,execute许可在成功使用一个文件作为共享库时也是必需的。
2)标准Linux访问控制的扩展
SELinux的一个好处就是它提供了额外的许可,可以更细粒度地进行控制。
- create
在标准Linux中,创建文件的能力受到写入容纳该文件的目录的权限限制,在SELinux中,create许可直接控制创建每个特定SELinux类型文件的能力。使用create许可,可以允许一个域类型创建etc_t类型的文件,而不是shadow_t类型。与SELinux中的大多数许可类似,文件create许可是必需的,但并不充分。例如:创建域类型也必须要有权在dir客体中创建客体,并且要有创建file客体的许可,也可能需要write许可。
- getattr和setattr
查看和修改文件属性(包括许可模式和属主信息)的能力,分别由getattr和setattr许可控制。getattr许可控制文件属性的读取(如使用stat(2)系统调用),setattr许可控制文件属性的写入(如使用chmod(2)系统调用)。
- lock
可以通过flock(2)或fcntl(2)系统调用锁定文件,由lock许可进行控制,获取一个锁不再需要其它许可。尽管实际上你需要有read、write或append许可获得文件描述符传递给有关的锁定系统调用。
- append
通常,只允许对文件进行附加(append)访问非常有用,如:日志文件不能被覆盖,这样可以阻止攻击者清除证据。SELinux单独提供了append许可,其在文件打开时强制实施了o_append模式,允许域类型append许可而无write意味着那个域类型进程只能将数据追加到文件。
- link和unlink
由于创建是单独用create许可进行控制的,创建和移除硬链接是用link和unlink许可控制的。在Linux中,文件是可以被引用为一个或多个名字的,这就叫做硬链接。硬链接不是文件的“真实”名字,一个文件的所有硬链接都只有一个等效的有效名,Linux文件系统的这种语义包含了多种安全含义,解除一个文件的硬链接本质上是删除一个文件(注意不是删除真正的文件,而是硬链接的名字而已)。
- rename
通用,硬链接一个文件本质上是对该文件创建了一个新的名字而已,可以使用系统调用rename(2)改变硬链接的名字,这个系统调用是由rename许可进行控制的,所以三种与硬链接有关的许可在有影响的目录上都需要额外的许可才能成功完成。
- mounton、quotaon和swapon
最后的文件扩展许可是mounton、quotaon和swapon。mounton许可控制使用文件作为一个挂载点的能力(mount(2)系统调用),更常见的是使用目录作为一个挂载点。然而,在执行绑定挂载(MS_BIND)时,可以使用文件作为挂载点。quotaon许可控制存储限额信息,当使用quotactl(2)系统调用(q_quotaon)开启限额时,存储限额信息的文件路径就确定了,调用进程域类型必须要有那个文件的quotaon许可,才能成功完成系统调用。
3)SELinux特定许可
对于文件而言,有五种SELinux特定许可:relabelfrom、relabelto、execute_no_trans、entrypoint和execmod。
- relabelfrom和relabelto
relabelfrom和relabelto许可控制域类型将文件从一个类型改为另一个类型的能力。为了使重新标记文件成功,域类型必须要有该文件客体当前类型的relabelfrom许可,并且还要有新类型的relabelto许可。注意这些许可不允许控制确切的许可对,域可以将它具有relabelfrom许可的任何类型改为它具有relabelto许可的类型。在重新标记时可以增加约束,重新标记客体对于系统而言是一个潜在的安全危险,应该严加控制。
- execute_no_trans
execute_no_trans许可允许域执行一个无域转换的文件,这个许可还不够执行一个文件,还需要execcute许可。没有execute_no_trans许可,进程可能只能在一个域内执行。如果我们想要确保一个执行过程总是会引发一个域转换(或失败)时,此时就会想要排除execute_no_trans许可。例如:当登录进程为一个用户登录执行一个shell时,我们总是想要shell进程从有特权的登录域类型转移出来。
- entrypoint
entrypoint许可控制使用可执行文件允许域转换的能力。
execute、execute_no_trans和entrypoint许可允许精确控制什么代码可以执行什么域类型。SELinux控制各个程序域类型的能力是它能够提供强壮灵活的安全的主要原因。
- execmod
execmod许可控制执行在进程内存中已经修改了的内存映像文件的能力,这在防止共享库被另一个进程修改时非常有用,没有这个许可,如果一个内存映像文件在内存中已经被修改了,进程就不能再执行这个文件了。
相关文章:
)
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
接前一篇文章:SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7) 一、SELinux策略语言之客体类别和许可 4. 客体类别许可实例 (2)文件客体类别许可 文件客体类别有三类许可:直接映像到标准Lin…...
Unity——URP相机详解
2021版本URP项目下的相机,一般新建一个相机有如下组件 1:Render Type(渲染类型) 有Base和Overlay两种选项,默认是Base选项 Base:主相机使用该种渲染方式,负责渲染场景中的主要图形元素 Overlay(叠加):使用了Oveylay的…...
CRUD-SQL
文章目录 前置insertSelective和upsertSelective使用姿势手写sql,有两种方式 一、增当导入的数据不存在时则进行添加,有则更新 1.1 唯一键,先查,后插1.2 批量插1.2.1 批次一200、批次二200、批次三200,有一条数据写入失…...
【C语言 | 数组】C语言数组详解(经典,超详细)
😁博客主页😁:🚀https://blog.csdn.net/wkd_007🚀 🤑博客内容🤑:🍭嵌入式开发、Linux、C语言、C、数据结构、音视频🍭 🤣本文内容🤣&a…...
第三十三节——组合式API生命周期
一、基本使用 组合式api生命周期几乎和选项式一致。注意组合式api是从挂载阶段开始 <template><div></div> </template> <script setup> import {onBeforeMount, onMounted,onBeforeUpdate, onUpdated, onBeforeUnmount, onUnmounted, } from …...
【Linux】Alibaba Cloud Linux 3 安装 PHP8.1
一、系统安装 请参考 【Linux】Alibaba Cloud Linux 3 中第二硬盘、MySQL8.、MySQL7.、Redis、Nginx、Java 系统安装 二、安装源 rpm -ivh --nodeps https://rpms.remirepo.net/enterprise/remi-release-8.rpm sed -i s/PLATFORM_ID"platform:al8"/PLATFORM_ID&q…...
【容器化】Kubernetes(k8s)
文章目录 概述Docker 的管理痛点什么是 K8s云架构 & 云原生 架构核心组件K8s 的服务注册与发现组件调用流程部署单机版部署主从版本Operator来源拓展阅读 概述 Docker 虽好用,但面对强大的集群,成千上万的容器,突然感觉不香了。 这时候就…...
stm32 HSUSB
/ stm32f407xx.h #define USB_OTG_HS_PERIPH_BASE 0x40040000UL #define USB_OTG_HS ((USB_OTG_GlobalTypeDef *) USB_OTG_HS_PERIPH_BASE) // // 定义全局变量 USBD_HandleTypeDef hUsbDeviceHS;并默认全零初始化/* USB Device handle structure */ typedef struct _USB…...
C# String.Trim 方法
String.Trim()方法定义: 命名空间:System 程序集:System.Runtime.dll 返回结果:返回一个新字符串,它相当于从当前字符串中删除了一组指定字符的所有前导匹配项和尾随匹配项。 Trim方法有三个重载的方法,…...
<Linux>(极简关键、省时省力)《Linux操作系统原理分析之Linux 进程管理 4》(8)
《Linux操作系统原理分析之Linux 进程管理 4》(8) 4 Linux 进程管理4.4 Linux 进程的创建和撤销4.4.1 Linux 进程的族亲关系4.4.2 Linux 进程的创建4.4.3 Linux 进程创建的过程4.4.4 Linux 进程的执行4.4.5 Linux 进程的终止和撤销 4 Linux 进程管理 4.…...
RT-Thread STM32F407 PWM
为了展示PWM效果,这里用ADC来采集PWM输出通道的电平变化 第一步,进入RT-Thread Settings配置PWM驱动 第二步,进入board.h,打开PWM宏 第三步,进入STM32CubeMX,配置时钟及PWM 第四步,回到R…...
idea中把spring boot项目打成jar包
打jar包 打开项目,右击项目选中Open Module Settings进入project Structure 选中Artifacts,点击中间的加号(Project Settings->Artifacts->JAR->From modules with dependencies ) 弹出Create JAR from Modules&#…...
levelDB之基础数据结构-Slice
Slice是levelDB中用于操作字符串的数据结构,以字节为单位。 定义与实现 namespace leveldb {class LEVELDB_EXPORT Slice {public:// Create an empty slice.Slice() : data_(""), size_(0) {}// Create a slice that refers to d[0,n-1].Slice(const c…...
上位机模块之通用重写相机类
在常用的视觉上位机中,我们通常会使用单个上位机匹配多个相机或者多品牌相机,所以在此记录一个可重写的通用相机类,用于后续长期维护开发。 先上代码。 using HalconDotNet; using System.Collections.Generic;namespace WeldingInspection.M…...
机器人导航+OPENCV透视变换示例代码
透视变换又称四点变换,所以不能用于5边形这样的图形变换,不是真正的透视变换,但是这个方法可以把机器人看到的图像转换为俯视图,这样就可以建立地图,要不然怎么建立地图呢。 void CrelaxMyFriendDlg::OnBnClickedOk()…...
KofamScan-KEGG官方推荐的使用系同源和隐马尔可夫模型进行KO注释
文章目录 简介安装使用输入蛋白序列输出detail-tsv格式输出detail格式输出mapper格式 输出结果detail和detail-tsv格式mapper格式常用命令tmp目录 与emapper结果比较其他参数参考 简介 KofamScan 是一款基于 KEGG 直系同源和隐马尔可夫模型(HMM)的基因功…...
代码随想录算法训练营第五十五天丨 动态规划part16
583. 两个字符串的删除操作 思路 #动态规划一 本题和动态规划:115.不同的子序列 (opens new window)相比,其实就是两个字符串都可以删除了,情况虽说复杂一些,但整体思路是不变的。 这次是两个字符串可以相互删了,这…...
【Linux】kernel与应用消息队列的一种设计
Linux进程间通讯的方式有很多种,这里介绍一种通过消息队列的方式来实现kernel与APP之间的消息收发实现方式,这种方式特别适用于,kernel中发送消息,应用层收取消息。 消息队列设备驱动 该方法的设计思路即是创建一个消息队列的设…...
我们常说的网络资产,具体是如何定义的?
文章目录 什么叫网络资产?官方定义的网络资产网络资产数字化定义推荐阅读 什么叫网络资产? 通过百度查询搜索什么叫网络资产?大体上都将网络资产归类为计算机网络中的各类设备。 基本上会定义网络传输通信架构中用到的主机、网络设备、防火…...
WPF中可冻结对象
在WPF(Windows Presentation Foundation)中,"可冻结对象"指的是那些在创建之后可以被设置为不可更改状态的对象。这种特性允许这些对象更有效地被共享和复制,并且可以增加性能。 例如,Brushes,P…...
MPNet:旋转机械轻量化故障诊断模型详解python代码复现
目录 一、问题背景与挑战 二、MPNet核心架构 2.1 多分支特征融合模块(MBFM) 2.2 残差注意力金字塔模块(RAPM) 2.2.1 空间金字塔注意力(SPA) 2.2.2 金字塔残差块(PRBlock) 2.3 分类器设计 三、关键技术突破 3.1 多尺度特征融合 3.2 轻量化设计策略 3.3 抗噪声…...
最新SpringBoot+SpringCloud+Nacos微服务框架分享
文章目录 前言一、服务规划二、架构核心1.cloud的pom2.gateway的异常handler3.gateway的filter4、admin的pom5、admin的登录核心 三、code-helper分享总结 前言 最近有个活蛮赶的,根据Excel列的需求预估的工时直接打骨折,不要问我为什么,主要…...
基础光照(Basic Lighting))
C++.OpenGL (10/64)基础光照(Basic Lighting)
基础光照(Basic Lighting) 冯氏光照模型(Phong Lighting Model) #mermaid-svg-GLdskXwWINxNGHso {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-GLdskXwWINxNGHso .error-icon{fill:#552222;}#mermaid-svg-GLd…...
多模态大语言模型arxiv论文略读(108)
CROME: Cross-Modal Adapters for Efficient Multimodal LLM ➡️ 论文标题:CROME: Cross-Modal Adapters for Efficient Multimodal LLM ➡️ 论文作者:Sayna Ebrahimi, Sercan O. Arik, Tejas Nama, Tomas Pfister ➡️ 研究机构: Google Cloud AI Re…...
初探Service服务发现机制
1.Service简介 Service是将运行在一组Pod上的应用程序发布为网络服务的抽象方法。 主要功能:服务发现和负载均衡。 Service类型的包括ClusterIP类型、NodePort类型、LoadBalancer类型、ExternalName类型 2.Endpoints简介 Endpoints是一种Kubernetes资源…...
基于 TAPD 进行项目管理
起因 自己写了个小工具,仓库用的Github。之前在用markdown进行需求管理,现在随着功能的增加,感觉有点难以管理了,所以用TAPD这个工具进行需求、Bug管理。 操作流程 注册 TAPD,需要提供一个企业名新建一个项目&#…...
AirSim/Cosys-AirSim 游戏开发(四)外部固定位置监控相机
这个博客介绍了如何通过 settings.json 文件添加一个无人机外的 固定位置监控相机,因为在使用过程中发现 Airsim 对外部监控相机的描述模糊,而 Cosys-Airsim 在官方文档中没有提供外部监控相机设置,最后在源码示例中找到了,所以感…...
BLEU评分:机器翻译质量评估的黄金标准
BLEU评分:机器翻译质量评估的黄金标准 1. 引言 在自然语言处理(NLP)领域,衡量一个机器翻译模型的性能至关重要。BLEU (Bilingual Evaluation Understudy) 作为一种自动化评估指标,自2002年由IBM的Kishore Papineni等人提出以来,…...
Scrapy-Redis分布式爬虫架构的可扩展性与容错性增强:基于微服务与容器化的解决方案
在大数据时代,海量数据的采集与处理成为企业和研究机构获取信息的关键环节。Scrapy-Redis作为一种经典的分布式爬虫架构,在处理大规模数据抓取任务时展现出强大的能力。然而,随着业务规模的不断扩大和数据抓取需求的日益复杂,传统…...
【FTP】ftp文件传输会丢包吗?批量几百个文件传输,有一些文件没有传输完整,如何解决?
FTP(File Transfer Protocol)本身是一个基于 TCP 的协议,理论上不会丢包。但 FTP 文件传输过程中仍可能出现文件不完整、丢失或损坏的情况,主要原因包括: ✅ 一、FTP传输可能“丢包”或文件不完整的原因 原因描述网络…...