7.7.2. Базовые понятия SELinux: сущность, роль и домен

7.7.2. Базовые понятия SELinux: сущность, роль и домен

Чтобы настроить SELinux, вам нужно ознакомиться с ее базовыми понятиями: сущность, роль и домен.

Сущность (identity) является частью контекста безопасности, который задает домены, в которые можно войти. Говоря более простым, языком, сущность определяет, что можно сделать. Например, сущность den определяет, что может сделать пользователь den.

Но сущность не является идентификатором или именем пользователя! Не нужно отождествлять имя пользователя с сущностью: есть имя пользователя den, а есть сущность den. Чтобы нам было понятнее откройте терминал и введите команду id. Вы получите такой вывод:

uid=500(den) gid=500(den) группы=500 (den) context=user_r:system_r:unconfined_t

Теперь введите команду su, а затем снова команду id. Вы получите следующий вывод (рис. 7.14):

uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=user_r:system_r:unconfined_t

Обратите внимание: UID (идентификатор пользователя) изменился, а сущность осталась прежней - user_r. Ради эксперимента, введите следующую команду:

/sbin/init 3

Рис. 7.14. Команда id om имени обычного пользователя

Вы перейдете на третий уровень запуска. Войдите в систему как пользователь root. Затем введите команду id, и вы получите следующий вывод (рис. 7.15):

uid=0(root) gid=0(root) группы=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh

Рис. 7.15. Команда id om имени пользователя root

Обратите внимание: изменилась сущность и контекст безопасности. Это доказывает, что сущность никак не привязана к идентификатору пользователя.

Пора разобраться, что же такое роль и домен. Домен (domain) определяет привилегии процесса; он представляет собой список возможностей, т.е. действий, которые разрешены процессу. Описывать данные действия самостоятельно вам не придется, об этом уже позаботились разработчики Fedora, описав более 200 процессов, которые могут выполняться в операционной системе. Все остальные процессы, которые не описаны в политике безопасности, попадают в домен unconfined_t. Данные процессы не защищаются SELinux.

Иногда домен называют типом. Тип (type) - это то же самое, что и домен, но домен относится к процессам, а тип - к файлам, каталогам, сетевым сокетам.

Роль (role) задает список доменов, которые могут быть использованы. Вот пример описания роли в конфигурационном файле (об этом позже): role user_r types user_passwd_t

Данная запись означает, что роли user_r разрешен доступ к домену user_passwd_t, т.е. пользователям с этой ролью разрешено использовать программу passwd для смены своего пароля.

Говоря обобщенно, сущность определяет, какие домены и какие роли, могут быть использованы.

Контекст безопасности состоит из сущности, роли и домена. Контекст безопасности выводится в формате:

context=сущность;роль;домен

Команда id выводит как раз контекст безопасности.

Теперь, когда мы знакомы с основными понятиями SELinux, пора рассмотреть политику безопасности. Политика безопасности - это правила, контролирующие списки ролей, к которым пользователь имеет доступ, доступ доменов к типам, доступ ролей к доменам.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Сущность контейнерного Web-дизайна

Из книги автора

Сущность контейнерного Web-дизайна Контейнерный Web-дизайн для размещения отдельных фрагментов содержимого Web-страниц использует блочные контейнеры, с которыми мы познакомились в начале этой главы. Отдельные контейнеры создаются для заголовка Web-сайта, полосы навигации,


Диаграммы «сущность-связь»

Из книги автора

Диаграммы «сущность-связь» Данная нотация была предложена П. Ченом (P. Chen) в его известной работе 1976 года [17] и получила дальнейшее развитие в работах Р. Баркера [16] (R. Barker). Диаграммы «сущность-связь» (ERD) предназначены для графического представления моделей данных


6.1.4. Как домен

Из книги автора

6.1.4. Как домен Если проанализировать все параметры, которые мы будем рассматривать в этом разделе, то станет очевидно, что Samba способна заменить Windows- сервер, и рабочие станции на базе Windows не заметят неудобств:? local master = yes — позволяет сделать ваш Samba-сервер основным


20.4 Сущность управляющей информации

Из книги автора

20.4 Сущность управляющей информации Описание управляющих переменных полностью независимо от спецификации протокола для обмена между программным монитором и агентом. Это наиболее важное свойство сетевой архитектуры.Описание переменных возложено на комиссии экспертов


Глава 4 Виртуальная география или домен SU

Из книги автора

Глава 4 Виртуальная география или домен SU В 1990 году Советский Союз вливался в виртуальное пространство Интернета. В качестве первого решительного шага СССР выделили виртуальный участок в глобальном адресном пространстве – так появился домен SU, который формально


Глава 5 Оплот Рунета – домен RU

Из книги автора

Глава 5 Оплот Рунета – домен RU Союз Советских Социалистических Республик распался в 1991 году. Ранее образовывавшие единое государство республики обрели самостоятельность, в том числе и самостоятельность во всемирной системе адресации Интернета. Правда, как мы только что


Глава 12 Право на домен

Из книги автора

Глава 12 Право на домен Доменные имена давно превратились в важный инструмент бизнеса. Нередки случаи, когда доменное имя представляет собой единственный действительно ценный ресурс той или иной коммерческой компании, а потеря домена эквивалентна потере всего бизнеса.


Отдай мой домен

Из книги автора

Отдай мой домен Что нужно знать начинающему администратору домена о правовых хитростях, окружающих доменные имена? Прежде всего необходимо уяснить для себя реальный статус доменов в российском законодательстве. Как ни странно, их статус можно довольно точно описать


7.7. Система SELinux: краткое руководство

Из книги автора

7.7. Система SELinux: краткое руководство 7.7.1. Система контроля доступа Как мы уже знаем, и Linux есть обычные пользователи и суперпользователь. Обычные пользователи практически не имеют никаких прав. Они могут создавать и изменять файлы только из своего домашнего каталога, а к


7.7.3. Включение/выключение SELinux в Fedora

Из книги автора

7.7.3. Включение/выключение SELinux в Fedora Включить или выключить SELinux (кстати, в Fedora SELinux по умолчанию включена) можно с помощью конфигуратора system-config-securitylevel. После запуска конфигуратора нужно в его окне перейти во вкладку Настройка SELinux (рис. 7.16) и задать режим работы


7.7.5. Управление SELinux

Из книги автора

7.7.5. Управление SELinux Для управления системой контроля доступом используется конфигуратор system-config-selinux (рис. 7.18). С помощью этого конфигуратора можно полностью настроить SELinux, но чаще всего вы будете посещать раздел Boolean, в котором задаются возможности той или иной сетевой


Сущность процесса миграции

Из книги автора

Сущность процесса миграции Миграция - это перенос баз данных между различными версиями InterBase, а также платформами и ОС. Миграция заключается в том, что в системе- источнике (где система - это уникальное сочетание версии InterBase-сервера, ОС и аппаратной платформы, например


Базовые понятия

Из книги автора

Базовые понятия HTML-страница – это по сути текстовый файл, который можно создать с помощью обычного Блокнота. Помимо текста, который будет выводиться браузером при просмотре такой странички, этот файл содержит невидимый для программы навигации по Сети и пользователя код.


АНАЛИЗЫ: Домен — читальня

Из книги автора

АНАЛИЗЫ: Домен — читальня Автор: Родион НасакинВ июне прошлого года общественная значимость отечественных электронных библиотек была неожиданно для многих признана государством и оценена в один миллион рублей. Федеральное агентство по печати и массовым коммуникациям


Домен. РФ, торренты и все-все-все Юрий Ревич

Из книги автора

Домен. РФ, торренты и все-все-все Юрий Ревич Компания RU-CENTER, самый крупный российский регистратор доменов и хостинг-провайдер, отметила свое десятилетие конференцией " Доменины-2010 ". Пересказывать все, что говорилось на конференции, бессмысленно, потому остановлюсь на двух


§ 2.1 Структура файла FictionBook. Базовые понятия

Из книги автора

§ 2.1 Структура файла FictionBook. Базовые понятия Книга FictionBook представляет собой XML-файл.Структурно этот файл можно разделить на три части.1) Desсription — заголовок (описание) книги;2) Body — непосредственно текст книги. В книге может быть несколько body.3) Binary — необязательная часть.