SELinux 学习笔记Table of Contents.pdf

声明 你可以自由地随意修改本文档的任何文字及图表， 但是如果你在自己的文档中以任何形式直接引用了本文档的任何原有文字或图表并希望发布你的文档， 那么你也得保证让所有得到你的文档的人继续享有你曾经享有过的权利。 SELinux 学习笔记 Harry Ciao harrytaurus2002@ 一个人对家庭、公司、社会的价值在于奉献 希望此文能够对 SELinux 在中国的推广和应用起到微薄的促进作用 欢迎批评指正，欢迎多多交流！ 最后更新：2010-12-31 Table of Contents 引子5 1. 操作系统中访问控制模型的演化5 1.1 访问控制模型的概念（Reference Monitor）5 1.2 DAC(Discretionary Access Control)的致命伤5 1.3 MAC(Mandatory Access Control)的起源6 1.4 SELinux 的TE(Type Enforcement)模型6 2. SELinux 的概念8 2.1 SELinux 的“物质基础”－安全上下文（Security Context）8 2.2 LSM (Linux Security Module)9 2.3 Type Enforcement10 2.4 Domain Transition10 2.5 Role 的作用11 2.6 Domain Transition 和 role 规则举例11 2.7 MLS 对 SC 的扩展12 3. SELinux 的语法14 3.1 Object Class and Permissions14 3.2 Type, alias and Attribute15 3.3 Access Vector Rules16 3.4 Type Transition Rule17 3.5 Type Change Rule18 3.6 RBAC in SELinux19 3.7 Constraints and MLS constraints22 3.8 Booleans and Optional Policy23 3.9 Range Transition26 3.10 Role Transition27 3.11 在 Target 上使用 setools 工具分析 SELinux 规则库27 3.12 在 Host 上使用 apol 具分析 SELinux 规则库28 4. Reference Policy30 4.1 Example Policy VS Reference Policy30 4.2 Reference Policy 代码树的主要结构30 4.3 SELinux Policy Package 的源代码文件31 5. SELinux Userspace Facilities33 5.1 /etc/selinux/config 文件33 5.2 /etc/selinux/$SELINUXTYPE/目录树33 5.2.1 /etc/selinux/$SELINUXTYPE/booleans33 5.2.2 /etc/selinux/$SELINUXTYPE/seusers33 5.2.3 /etc/selinux/$SELINUXTYPE/contexts/目录树34 5.2.4 /etc/selinux/$SELINUXTYPE/contexts/initrc_context 文件，run_init 程序和系 统启动脚本35 5.3 Policy Store37 5.4 /selinux/目录树38 5.5 /proc/pid/attr/目录树39 6. SELinux 的安装41 6.1 Ubuntu 上 SELinux 的安装41 6.1.1 initramfs41 6.1.2