SELinux需求分析

kiongf

回复 39# chenxiaoping020


    apol, seinfo, sesearch.
    写应用程序的策略有时间最好花时间看下kernel 层的接口（corenetwork.* corecommand.* fileystem.*等）
  

chenxiaoping020

回复 40# kiongf


    恩，好的，谢谢咯！

bi_baodi

回复 1# chenxiaoping020


    15年新人回复，看到这个帖子真的是倍感亲切啊。还有没有在搞SELinux的，出来交流一下啊。linux内核编译之后是不是不会有SELinux的策略文件啊？（新人，请见谅）

kiongf

回复 42# bi_baodi


不会有。你编译内核只是将selinux配置启动，如果你不在重启之前将selinux更改为permissive模式或者加载新的策略配置文件，系统上的进程都是没有权限的。
你可以从selinux官网上下一个target模式的selinux策略包进行更改。

   

beyondfly

一年前的老帖子又被顶起来了

bi_baodi

en,谢谢。看一段时间感觉SELinux真的太复杂了。请问对于Linux里面限制程序运行的问题有没有什么指教呢？回复 43# kiongf


   

kiongf

回复 45# bi_baodi


     在CentOS这些发行版本上，你可以新增一个策略模块，编写策略规则(标记指定的程序为一个指定的类型，再授权给特定的域)。一般而言对于不需要的权限，不分配就可以了。
     发型版本使用的Reference Policy里面使用了模块化思想，你在模块不能直接使用不在该模块定义的域和类型(比如a.te定义了root_t域, 你在b.te不能直接allow root_t **必须使用a.if提供的接口。
     写完然后再加载到已有的策略库就可以了。

     嵌入式的话，你可以下一个Reference Policy的策略源码，按你的需求重新修改策略。

bi_baodi

非常感谢！
很受用回复 46# kiongf


   

zhunxun

老师在策略模块编写方面有没有好的帖子或者书籍，网上各种查还是不知道怎么编写回复 8# kiongf


   

zhunxun

哥们又没有selinux的源代码？？？？？求分享回复 10# kiongf