SELinux培训-最好资料.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Rules.modular:这个文件包括支持载入式模块的策略时使用的make规则，它支持构建基础策略模块和可载入式模块。monolithic控制是构建一个模块还是构建一个单片策略。 Rules.monolithic:如果正在构建一个单片策略，这个文件被包括在Makefile中，定义构建单片策略时用到的规则。 config/:这个目录包括应用程序配置文件子目录。 doc/:这个目录包括的是支持文档。 support/:这个目录包括源代码和用于支持构建过程的工具使用的脚本。 在引用策略中，用于创建策略的主要文件放在policy/目录下，这些文件是我们作为策略编写者通常要修改和分析的文件： booleans.conf，global_booleans，global_tunables为布尔变量及默认值定义，以及说明信息 constraints，mls和mcs： 为standard/MLS/MCS相关限制的定义。 modules：包括所有的策略模块，是我们经常要编辑和修改的。 modules.conf：配置在构建过程中要包括哪个模块，以什么形式包括。包括三种形式： base:对于单片策略，所有模块都将使用base进行标记，对于可载入模块，基础模块中的所有模块都必须用base进行标记。 module:对于单片策略，策略中包括的所有标记为module的模块都将和base模块一样处理，对于可载入模块，所有标记为module的模块都将被构建为可载入模块。 off:对于单片和可载入模块，所有标记为off的模块不构建。 rolemap：这个文件描述了角色对应的前缀和域类型。 support：这个文件夹下的7个文件存放的是策略中的宏。 users：包含默认SELinux user的定义。 进入modules/,它包含了每一层的模块： kernel:这一层包括了直接与Linux内核有关的策略模块。在这一层的模块包括内核、设备、文件系统和基础网络策略语句。 system:这一层中的模块包括常用库、登陆进程和网络管理策略。 services:这一层包括所有服务和后台进程的策略模块。 admin:这一层包括管理工具和有自己域类型的管理命令的策略模块。 apps:这一层包括所有其它有自己域类型和策略模块的程序的策略模块。 策略的优化 编写策略时我们是根据audit.log来添加相应的策略语句的，但这个文件中所提示的仅仅是一些建议性的语句，如果全部添加会产生冗余。 如当添加下面两条语句时就产生了冗余： allow smc_t etc_t:file { read getattr write ioctl }; allow smc_t bin_t:file { read getattr write ioctl }; SELinux使用m4宏来提高策略语言的可重用性，将一些经常使用的策略语言定义为宏，方便策略语言的编写，在编译时通过预编辑器将它展开。 宏总体分类 策略中的宏主要分为7类，位于policy/support/下，file_patterns.spt,misc_patterns.spt,obj_perms_sets.spt,ipc_patterns.spt,misc_macros.spt,loadable_module.spt,mls_mcs_macros.spt7个文件中。 客体权限类型宏这种类型的宏主要作用是将常用的多个权限集合或客体集合组成一些特定的宏，方便在策略语句中被调用、理解和管理，关于客体和权限的示例分别如下：1) define(`dir_file_class_set,`{ dir file lnk_file sock_file fifo_file chr_file blk_file })，表示用dir_file_class_set代替后面这些客体类型的集合。2) define(`stat_file_perms,`{ getattr })define(`x_file_perms,`{ getattr execute })用stat_file_perms代替getattr权限，用x_file_perms代替getattr和execute的权限集合。 文件类型宏 这种类型宏主要是对于不同文件类型常用的允许语句定义为一些宏，使用这些宏可以简化整个策略。根据文件类型的不同又分为以下几类： 1)目录文件宏 define(`getattr_dir_pattern,` allow $1 $2:dir search_dir_perms;