进程域与文件级访问控制
1. 核心工具包实用程序的上下文设置
核心工具包(coreutils)提供的大多数实用程序都支持-Z选项,例如mkdir(创建目录)、mknod(创建设备文件)、mkfifo(创建命名管道)等。很多实用程序还允许用户通过--context选项显式指定上下文。
例如,若要创建一个带有user_home_t上下文的目录/tmp/foo,默认使用mkdir是不行的:
$ sesearch -s user_t -t tmp_t -T -c dir type_transition user_t tmp_t : dir user_tmp_t使用--context选项,我们可以让工具设置特定的上下文:
$ mkdir --context=user_u:object_r:user_home_t:s0 /tmp/foo $ ls -ldZ /tmp/foo drwxr-xr-x. lisa lisa user_u:object_r:user_home_t:s0 foo/对于其他实用程序,最好查阅手册页以了解其如何处理扩展属性。例如,若要让rsyn
,零基础入门到精通,看这一篇就够了)
