8、SELinux 用户登录管理全解析

SELinux 用户登录管理全解析

1. 角色与可访问域

在 SELinux 中，角色定义了与之关联的用户可以访问的域。seinfo工具不仅能显示可用角色，还能借助-x选项列出某个角色可访问的域。示例如下：

# seinfo -rdbadm_r -x dbadm_r Dominated Roles: dbadm_r Types: qmail_inject_t dbadm_t ... user_mail_t

此例中，拥有dbadm_r角色的用户，其安全上下文允许他们切换到qmail_inject_t（用于读取电子邮件消息并将其传递到 qmail 队列的域）和user_mail_t（用于通用电子邮件发送命令行应用程序的域）等域。不过，角色主导信息通常并非管理员关注重点，因为尽管 SELinux 核心支持角色主导，但 Linux 发行版策略并未使用该功能。

2. 类别管理

敏感度标签及其关联类别通过数值标识，这对计算机友好，但对用户不直观。幸运的是，SELinux 实用程序支持将级别和类别转换为人类可读的值，即便它们仍以数字形式存储。转换通过/etc/selinux/targeted目录下的setrans.conf文件管理。例如，可在该文件中为特定值（如s0:c102 <