SELinux零知识学习三十一、SELinux策略语言之角色和用户(2)
接前一篇文章:SELinux零知识学习三十、SELinux策略语言之角色和用户(1)
三、SELinux策略语言之类型强制
SELinux提供了一种依赖于类型强制(类型增强,TE)的基于角色的访问控制(Role-Based Access Control),角色用于组域类型和限制域类型与用户之间的关系,SELinux中的用户关联一个或多个角色,使用角色和用户,RBAC特性允许有效地定义和管理最终授予Linux用户的特权。
1. SELinux中基于角色的访问控制
SELinux中的角色和用户构成了其RBAC特性的基础。你可会觉得奇怪,为什么我们现在才开始讨论角色和用户,其它大部分主流操作系统的安全特性几乎都集中于将访问权授予用户,或通过用户组或角色的机制进行授权。但这与SELinux中的情况有所不同,SELinux中的访问权不是直接授予用户或角色的,相反,访问权是通过TE allow规则授予给类型的。角色扮演的是类型强制的一个支持特性,它和用户一起为Linux用户及其允许的程序提供了一种绑定基于类型的访问机制,SELinux中的RBAC通过定义域类型和用户之间的关系对类型强制做了更多限制,以控制Linux用户的特权和访问的许可。RBAC没有允许访问权,在SELinux中,所有的允许访问权都是由类型强制提供的。
(2)用角色管理用户权限