10、深入理解SELinux类型规则与Apol工具的使用

深入理解SELinux类型规则与Apol工具的使用

1. 类型规则概述

类型规则用于指定在运行时创建或重新标记的对象的默认类型。与访问向量（AV）规则类似，但类型规则的最后一个字段是类型名称，而非权限列表。

2. 通用类型规则语法

类型规则有五个要素，其完整语法如下：

rule_name type_set type_set : class_set default_type;

各部分含义如下：
| 元素 | 说明 |
| — | — |
| rule_name | 类型规则的名称，有效规则名称有type_transition、type_change和type_member|
| type_set | 一个或多个类型或属性，源类型和目标类型各有一个单独的type_set，多个类型和属性用花括号{ }括起来的空格分隔列表指定，可通过在类型名称前加-排除类型 |
| class_set | 一个或多个对象类，多个对象类必须用花括号{ }括起来 |
| default_type | 新创建或重新标记对象的单个默认类型，不能使用属性或多个类型 |

类型规则语法与AV规则有相似之处，但也存在重要差异：
- 没有权限字段，因为类型规则不指定