SELinux角色与接口配置全解析
1. 创建流连接接口
在某些执行操作中,即使操作仍在调用者域内,也可能需要为调用者域分配额外的特权,这些特权可能涉及配置文件读取或通过Unix域套接字、TCP/UDP套接字与主域进行交互。下面将介绍如何设置流连接接口。
1.1 操作步骤
与应用程序套接字的交互可以通过套接字文件或命名的Unix域套接字来完成,这取决于具体应用,可能需要提前查阅应用文档。
-使用套接字文件的Unix域套接字:
1. 在.te文件中识别并注册适当的类型。套接字文件通常位于/var/run/目录,后缀为_var_run_t。
2. 创建一个调用stream_connect_pattern的流连接接口,示例代码如下:
interface(`ldap_stream_connect',` gen_require(` type slapd_t, slapd_var_run_t; ') files_search_pids($1) stream_connect_pattern($1, slapd_var_run_t, slapd_var_run_t, slapd_t) ')- 抽象Unix域套接字:
如果流连接是通过抽象Unix域套接字(不涉及套接字文件),则创建一个仅提供connectto特权
