Я пытаюсь осмыслить SELinux, но у меня в голове все время возникает один вопрос: КОНТЕКСТ.
Когда я пишу собственные правила и модули (в CentOS 7), я просто беру контексты из воздуха - до сих пор я так понимаю:
seinfo -t -x перечисляет все контексты вместе с их атрибутами.
sesearch отображает все существующие правила, поэтому, если бы меня интересовало, к чему httpd_t имеет доступ в настоящее время, я бы использовал что-то вроде sesearch -A -s httpd_t.
semanage fcontext -l перечислить все существующие правила.
/etc/selinux/targeted/contexts здесь есть несколько файлов, таких как customizable_types, поэтому я использую их.
Однако я все еще просто выбираю контексты из воздуха, не имея реальной информации о том, какой контекст следует использовать.
Я везде искал описания контекста, но, похоже, их нет - только apache имеет:
httpd_php_tmp_t httpd_var_lib_t httpd_var_run_t httpd_user_htaccess_t httpd_sys_content_t httpd_sys_htaccess_t httpd_user_script_exec_t httpd_rotatelogs_t httpd_suexec_tmp_t httpd_unconfined_script_exec_t httpd_user_ra_content_t httpd_user_rw_content_t httpd_suexec_t httpd_config_t httpd_bool_t httpd_php_t httpd_tmp_t httpd_user_script_t httpd_helper_exec_t httpd_squirrelmail_t httpd_php_exec_t httpd_sys_ra_content_t httpd_sys_rw_content_t httpd_modules_t httpd_sys_script_t httpd_user_content_t httpd_suexec_exec_t httpd_unit_file_t httpd_unconfined_script_t httpd_initrc_exec_t httpd_t httpd_rotatelogs_exec_t httpd_passwd_t httpd_helper_t httpd_keytab_t httpd_exec_t httpd_lock_t httpd_log_t httpd_cache_t httpd_tmpfs_t httpd_sys_script_exec_t httpd_passwd_exec_t
Некоторые названия контекстов говорят сами за себя, но наверняка есть какая-то документация для этого?
Контексты SELinux задокументированы на страницах руководства модуля политики. Документация по политике Apache SELinux находится в httpd_selinux справочная страница.
Если у вас есть selinux-policy-devel После установки вы можете сгенерировать страницы руководства, запустив:
sepolicy manpage -a -p /usr/local/man/man8
mandb
(также спросил U&L SE)