22、SELinux系统管理全解析

SELinux系统管理全解析

1. SELinux对系统管理的影响

管理SELinux系统时，管理员需要掌握众多功能。大部分情况下，SELinux的管理与普通非SELinux系统类似，但在一些典型的管理操作上，SELinux有额外要求。下面将探讨一些新接触SELinux的管理员常遇到问题的管理领域。

2. 用户管理

在SELinux系统中，添加、修改和删除用户一直是个挑战。若操作不当，可能看似添加了用户，但用户无法登录（例如，可能是default_contexts文件出现问题）。通用SELinux用户user_u解决了许多不需要对所有Linux用户进行精细控制的SELinux系统的用户管理难题。比如在FC4中添加用户时，由于新用户未在策略中定义，会自动映射到user_u。

用户管理的另一个挑战是如何标记用户主目录中的文件，这会引发几个问题。一是如何对不同类型的用户域类型（如sysadm_t与user_t）进行通用标记；二是在将用户添加到现有系统时，如何确定其合适的标记。若用户主目录和文件最初标记不正确，用户可能会遇到各种问题，如无法登录或无法在主目录中写入文件。近年来，通过前面提到的./contexts/files/file_contexts.home_dirs文件，在解决SELinux用户管理问题上取得了显著进展。

2.1 添加普通非特权用户

由于有了通用用户user_u，在S