SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
接前一篇文章:SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7)
一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
(2)文件客体类别许可
文件客体类别有三类许可:直接映像到标准Linux访问控制许可的许可、标准Linux许可的扩展和SELinux特定的许可。下表列出了与文件有关的客体类别许可(即file客体类别许可):
| 许可 | 描述 |
| append | 附加到文件内容(即用O_APPEND标记打开) |
| create | 创建一个新文件 |
| entrypoint* | 通过域转换,可以用作新域的入口点的文件 |
| execmod* | 使被修改过的文件可执行(含有写时复制的意思) |
| execute | 执行,与标准Linux下的x访问权限一致 |
| execute_no_trans* | 在访问者域转换的执行文件(即没有域转换) |
| getattr | 获取文件的属性,如访问模式(例如:stat、部分ioctls) |
| ioctl | ioctl(2)系统调用请求 |
| link | 创建一个硬链接 |
| lock | 设置和清除文件锁 |
| mounton | 用作挂载点 |
| quotaon | 允许文件用作一个限额数据库 |
| read | 读取文件内容,对应标准Linux下的r访问权 |
| relabelfrom | 从现有类型改变安全上下文 |
| relabelto | 改变新类型的安全上下文 |
| rename | 重命名一个硬链接 |
| setattr | 改变文件的属性,如访问模式(例如:chmod、部分ioctls) |
| swapon | 不赞成使用。其用于将文件当作换页/交换空间 |
| unlink | 移除硬链接(删除) |
| write | 写入文件内容,对应标准Linux下的w访问权 |
1)标准Linux许可
- read、write和execute
许可read、write和execute基本上与标准Linux许可的读(r)、写(w)和执行(x)类似,丹玉标准许可检查有些不同,在标准Linux中,访问权通常是在文件打开时进行检查,而在SELinux中,访问权是每次使用时都会检查。
read许可包括了读取整个文件的能力,它包括以一种随机方式访问文件的许可。write许可包括了写入(及附加)文件的许可。与read许可相似,write许可包括了随机访问写。当一个文件被映像到内存中时,也会检查read和write许可。例如:mmap(2)系统调用,或使用mprotect(2)系统调用保护现有映像被改变。
execute许可使用execve(2)系统调用控制执行文件的能力,不管有没有域转换(参考后文的exec_no_trans),它都是必需的,execute许可在成功使用一个文件作为共享库时也是必需的。
2)标准Linux访问控制的扩展
SELinux的一个好处就是它提供了额外的许可,可以更细粒度地进行控制。
- create
在标准Linux中,创建文件的能力受到写入容纳该文件的目录的权限限制,在SELinux中,create许可直接控制创建每个特定SELinux类型文件的能力。使用create许可,可以允许一个域类型创建etc_t类型的文件,而不是shadow_t类型。与SELinux中的大多数许可类似,文件create许可是必需的,但并不充分。例如:创建域类型也必须要有权在dir客体中创建客体,并且要有创建file客体的许可,也可能需要write许可。
- getattr和setattr
查看和修改文件属性(包括许可模式和属主信息)的能力,分别由getattr和setattr许可控制。getattr许可控制文件属性的读取(如使用stat(2)系统调用),setattr许可控制文件属性的写入(如使用chmod(2)系统调用)。
- lock
可以通过flock(2)或fcntl(2)系统调用锁定文件,由lock许可进行控制,获取一个锁不再需要其它许可。尽管实际上你需要有read、write或append许可获得文件描述符传递给有关的锁定系统调用。
- append
通常,只允许对文件进行附加(append)访问非常有用,如:日志文件不能被覆盖,这样可以阻止攻击者清除证据。SELinux单独提供了append许可,其在文件打开时强制实施了o_append模式,允许域类型append许可而无write意味着那个域类型进程只能将数据追加到文件。
- link和unlink
由于创建是单独用create许可进行控制的,创建和移除硬链接是用link和unlink许可控制的。在Linux中,文件是可以被引用为一个或多个名字的,这就叫做硬链接。硬链接不是文件的“真实”名字,一个文件的所有硬链接都只有一个等效的有效名,Linux文件系统的这种语义包含了多种安全含义,解除一个文件的硬链接本质上是删除一个文件(注意不是删除真正的文件,而是硬链接的名字而已)。
- rename
通用,硬链接一个文件本质上是对该文件创建了一个新的名字而已,可以使用系统调用rename(2)改变硬链接的名字,这个系统调用是由rename许可进行控制的,所以三种与硬链接有关的许可在有影响的目录上都需要额外的许可才能成功完成。
- mounton、quotaon和swapon
最后的文件扩展许可是mounton、quotaon和swapon。mounton许可控制使用文件作为一个挂载点的能力(mount(2)系统调用),更常见的是使用目录作为一个挂载点。然而,在执行绑定挂载(MS_BIND)时,可以使用文件作为挂载点。quotaon许可控制存储限额信息,当使用quotactl(2)系统调用(q_quotaon)开启限额时,存储限额信息的文件路径就确定了,调用进程域类型必须要有那个文件的quotaon许可,才能成功完成系统调用。
3)SELinux特定许可
对于文件而言,有五种SELinux特定许可:relabelfrom、relabelto、execute_no_trans、entrypoint和execmod。
- relabelfrom和relabelto
relabelfrom和relabelto许可控制域类型将文件从一个类型改为另一个类型的能力。为了使重新标记文件成功,域类型必须要有该文件客体当前类型的relabelfrom许可,并且还要有新类型的relabelto许可。注意这些许可不允许控制确切的许可对,域可以将它具有relabelfrom许可的任何类型改为它具有relabelto许可的类型。在重新标记时可以增加约束,重新标记客体对于系统而言是一个潜在的安全危险,应该严加控制。
- execute_no_trans
execute_no_trans许可允许域执行一个无域转换的文件,这个许可还不够执行一个文件,还需要execcute许可。没有execute_no_trans许可,进程可能只能在一个域内执行。如果我们想要确保一个执行过程总是会引发一个域转换(或失败)时,此时就会想要排除execute_no_trans许可。例如:当登录进程为一个用户登录执行一个shell时,我们总是想要shell进程从有特权的登录域类型转移出来。
- entrypoint
entrypoint许可控制使用可执行文件允许域转换的能力。
execute、execute_no_trans和entrypoint许可允许精确控制什么代码可以执行什么域类型。SELinux控制各个程序域类型的能力是它能够提供强壮灵活的安全的主要原因。
- execmod
execmod许可控制执行在进程内存中已经修改了的内存映像文件的能力,这在防止共享库被另一个进程修改时非常有用,没有这个许可,如果一个内存映像文件在内存中已经被修改了,进程就不能再执行这个文件了。
相关文章:
)
SELinux零知识学习十四、SELinux策略语言之客体类别和许可(8)
接前一篇文章:SELinux零知识学习十三、SELinux策略语言之客体类别和许可(7) 一、SELinux策略语言之客体类别和许可 4. 客体类别许可实例 (2)文件客体类别许可 文件客体类别有三类许可:直接映像到标准Lin…...
Unity——URP相机详解
2021版本URP项目下的相机,一般新建一个相机有如下组件 1:Render Type(渲染类型) 有Base和Overlay两种选项,默认是Base选项 Base:主相机使用该种渲染方式,负责渲染场景中的主要图形元素 Overlay(叠加):使用了Oveylay的…...
CRUD-SQL
文章目录 前置insertSelective和upsertSelective使用姿势手写sql,有两种方式 一、增当导入的数据不存在时则进行添加,有则更新 1.1 唯一键,先查,后插1.2 批量插1.2.1 批次一200、批次二200、批次三200,有一条数据写入失…...
【C语言 | 数组】C语言数组详解(经典,超详细)
😁博客主页😁:🚀https://blog.csdn.net/wkd_007🚀 🤑博客内容🤑:🍭嵌入式开发、Linux、C语言、C、数据结构、音视频🍭 🤣本文内容🤣&a…...
第三十三节——组合式API生命周期
一、基本使用 组合式api生命周期几乎和选项式一致。注意组合式api是从挂载阶段开始 <template><div></div> </template> <script setup> import {onBeforeMount, onMounted,onBeforeUpdate, onUpdated, onBeforeUnmount, onUnmounted, } from …...
【Linux】Alibaba Cloud Linux 3 安装 PHP8.1
一、系统安装 请参考 【Linux】Alibaba Cloud Linux 3 中第二硬盘、MySQL8.、MySQL7.、Redis、Nginx、Java 系统安装 二、安装源 rpm -ivh --nodeps https://rpms.remirepo.net/enterprise/remi-release-8.rpm sed -i s/PLATFORM_ID"platform:al8"/PLATFORM_ID&q…...
【容器化】Kubernetes(k8s)
文章目录 概述Docker 的管理痛点什么是 K8s云架构 & 云原生 架构核心组件K8s 的服务注册与发现组件调用流程部署单机版部署主从版本Operator来源拓展阅读 概述 Docker 虽好用,但面对强大的集群,成千上万的容器,突然感觉不香了。 这时候就…...
stm32 HSUSB
/ stm32f407xx.h #define USB_OTG_HS_PERIPH_BASE 0x40040000UL #define USB_OTG_HS ((USB_OTG_GlobalTypeDef *) USB_OTG_HS_PERIPH_BASE) // // 定义全局变量 USBD_HandleTypeDef hUsbDeviceHS;并默认全零初始化/* USB Device handle structure */ typedef struct _USB…...
C# String.Trim 方法
String.Trim()方法定义: 命名空间:System 程序集:System.Runtime.dll 返回结果:返回一个新字符串,它相当于从当前字符串中删除了一组指定字符的所有前导匹配项和尾随匹配项。 Trim方法有三个重载的方法,…...
<Linux>(极简关键、省时省力)《Linux操作系统原理分析之Linux 进程管理 4》(8)
《Linux操作系统原理分析之Linux 进程管理 4》(8) 4 Linux 进程管理4.4 Linux 进程的创建和撤销4.4.1 Linux 进程的族亲关系4.4.2 Linux 进程的创建4.4.3 Linux 进程创建的过程4.4.4 Linux 进程的执行4.4.5 Linux 进程的终止和撤销 4 Linux 进程管理 4.…...
RT-Thread STM32F407 PWM
为了展示PWM效果,这里用ADC来采集PWM输出通道的电平变化 第一步,进入RT-Thread Settings配置PWM驱动 第二步,进入board.h,打开PWM宏 第三步,进入STM32CubeMX,配置时钟及PWM 第四步,回到R…...
idea中把spring boot项目打成jar包
打jar包 打开项目,右击项目选中Open Module Settings进入project Structure 选中Artifacts,点击中间的加号(Project Settings->Artifacts->JAR->From modules with dependencies ) 弹出Create JAR from Modules&#…...
levelDB之基础数据结构-Slice
Slice是levelDB中用于操作字符串的数据结构,以字节为单位。 定义与实现 namespace leveldb {class LEVELDB_EXPORT Slice {public:// Create an empty slice.Slice() : data_(""), size_(0) {}// Create a slice that refers to d[0,n-1].Slice(const c…...
上位机模块之通用重写相机类
在常用的视觉上位机中,我们通常会使用单个上位机匹配多个相机或者多品牌相机,所以在此记录一个可重写的通用相机类,用于后续长期维护开发。 先上代码。 using HalconDotNet; using System.Collections.Generic;namespace WeldingInspection.M…...
机器人导航+OPENCV透视变换示例代码
透视变换又称四点变换,所以不能用于5边形这样的图形变换,不是真正的透视变换,但是这个方法可以把机器人看到的图像转换为俯视图,这样就可以建立地图,要不然怎么建立地图呢。 void CrelaxMyFriendDlg::OnBnClickedOk()…...
KofamScan-KEGG官方推荐的使用系同源和隐马尔可夫模型进行KO注释
文章目录 简介安装使用输入蛋白序列输出detail-tsv格式输出detail格式输出mapper格式 输出结果detail和detail-tsv格式mapper格式常用命令tmp目录 与emapper结果比较其他参数参考 简介 KofamScan 是一款基于 KEGG 直系同源和隐马尔可夫模型(HMM)的基因功…...
代码随想录算法训练营第五十五天丨 动态规划part16
583. 两个字符串的删除操作 思路 #动态规划一 本题和动态规划:115.不同的子序列 (opens new window)相比,其实就是两个字符串都可以删除了,情况虽说复杂一些,但整体思路是不变的。 这次是两个字符串可以相互删了,这…...
【Linux】kernel与应用消息队列的一种设计
Linux进程间通讯的方式有很多种,这里介绍一种通过消息队列的方式来实现kernel与APP之间的消息收发实现方式,这种方式特别适用于,kernel中发送消息,应用层收取消息。 消息队列设备驱动 该方法的设计思路即是创建一个消息队列的设…...
我们常说的网络资产,具体是如何定义的?
文章目录 什么叫网络资产?官方定义的网络资产网络资产数字化定义推荐阅读 什么叫网络资产? 通过百度查询搜索什么叫网络资产?大体上都将网络资产归类为计算机网络中的各类设备。 基本上会定义网络传输通信架构中用到的主机、网络设备、防火…...
WPF中可冻结对象
在WPF(Windows Presentation Foundation)中,"可冻结对象"指的是那些在创建之后可以被设置为不可更改状态的对象。这种特性允许这些对象更有效地被共享和复制,并且可以增加性能。 例如,Brushes,P…...
树莓派超全系列教程文档--(61)树莓派摄像头高级使用方法
树莓派摄像头高级使用方法 配置通过调谐文件来调整相机行为 使用多个摄像头安装 libcam 和 rpicam-apps依赖关系开发包 文章来源: http://raspberry.dns8844.cn/documentation 原文网址 配置 大多数用例自动工作,无需更改相机配置。但是,一…...
【Oracle APEX开发小技巧12】
有如下需求: 有一个问题反馈页面,要实现在apex页面展示能直观看到反馈时间超过7天未处理的数据,方便管理员及时处理反馈。 我的方法:直接将逻辑写在SQL中,这样可以直接在页面展示 完整代码: SELECTSF.FE…...
通过Wrangler CLI在worker中创建数据库和表
官方使用文档:Getting started Cloudflare D1 docs 创建数据库 在命令行中执行完成之后,会在本地和远程创建数据库: npx wranglerlatest d1 create prod-d1-tutorial 在cf中就可以看到数据库: 现在,您的Cloudfla…...
23-Oracle 23 ai 区块链表(Blockchain Table)
小伙伴有没有在金融强合规的领域中遇见,必须要保持数据不可变,管理员都无法修改和留痕的要求。比如医疗的电子病历中,影像检查检验结果不可篡改行的,药品追溯过程中数据只可插入无法删除的特性需求;登录日志、修改日志…...
3.3.1_1 检错编码(奇偶校验码)
从这节课开始,我们会探讨数据链路层的差错控制功能,差错控制功能的主要目标是要发现并且解决一个帧内部的位错误,我们需要使用特殊的编码技术去发现帧内部的位错误,当我们发现位错误之后,通常来说有两种解决方案。第一…...
Keil 中设置 STM32 Flash 和 RAM 地址详解
文章目录 Keil 中设置 STM32 Flash 和 RAM 地址详解一、Flash 和 RAM 配置界面(Target 选项卡)1. IROM1(用于配置 Flash)2. IRAM1(用于配置 RAM)二、链接器设置界面(Linker 选项卡)1. 勾选“Use Memory Layout from Target Dialog”2. 查看链接器参数(如果没有勾选上面…...
Spring数据访问模块设计
前面我们已经完成了IoC和web模块的设计,聪明的码友立马就知道了,该到数据访问模块了,要不就这俩玩个6啊,查库势在必行,至此,它来了。 一、核心设计理念 1、痛点在哪 应用离不开数据(数据库、No…...
JAVA后端开发——多租户
数据隔离是多租户系统中的核心概念,确保一个租户(在这个系统中可能是一个公司或一个独立的客户)的数据对其他租户是不可见的。在 RuoYi 框架(您当前项目所使用的基础框架)中,这通常是通过在数据表中增加一个…...
CSS | transition 和 transform的用处和区别
省流总结: transform用于变换/变形,transition是动画控制器 transform 用来对元素进行变形,常见的操作如下,它是立即生效的样式变形属性。 旋转 rotate(角度deg)、平移 translateX(像素px)、缩放 scale(倍数)、倾斜 skewX(角度…...
)
【LeetCode】3309. 连接二进制表示可形成的最大数值(递归|回溯|位运算)
LeetCode 3309. 连接二进制表示可形成的最大数值(中等) 题目描述解题思路Java代码 题目描述 题目链接:LeetCode 3309. 连接二进制表示可形成的最大数值(中等) 给你一个长度为 3 的整数数组 nums。 现以某种顺序 连接…...