基于角色的控制
每一个角色,都和一定的类型相关联,也就是说这个角色可以控制相关联类型的操作,如下图所示
auditadm用户和selinux auditadm_u用户相关联,auditadm_u用户和auditadm_r角色相关联。
auditadm_r角色相关联的类型,通过seinfo -xr auditadm_r可以看到。
也就是当你以auditadm用户登录时,你能操作auditadm_r相关的类型。
示例
因为auditadm用户不能控制default_t类型,所以开启enforcing时,ipsec,ldk_output , .ver_comp这三个目录和文件,上下文展示的都是?号。
我们进去ipsec不能进去ipsec目录
当permissive时,则能看到上下文
可以进入ipsec目录