红帽全球峰会17.2. 类型
SELinux 目标策略中用于提供高级进程隔离的主要权限控制方法是 Type Enforcement。所有文件和进程都设置了类型标签:type 为进程定义 SELinux 域,以及文件的 SELinux 类型。SELinux 策略规则定义类型如何相互访问,无论是访问某一类型的域还是访问其他域的域。只有在存在允许访问的特定 SELinux 策略规则时才允许访问。
以下类型与 BIND 一起使用:不同的类型允许您配置灵活的访问:
named_zone_t- 用于主区域文件.其他服务无法修改此类型的文件。只有启用了
named_write_master_zones named_cache_t- 默认情况下,
named可以写入使用此类型标记的文件,而不设置额外的布尔值。在/var/named/slaves/中复制或创建的文件、/var/named/dynamic/和/var/named/data/目录会使用named_cache_t类型自动标记。 named_var_run_t- 在
/var/run/bind/、/var/run/named/和/var/run/unbound/目录中复制或创建的文件会使用named_var_run_t类型自动标记。 named_conf_t- 与 BIND 相关的配置文件通常存储在
/etc目录中,使用named_conf_t类型自动标记。 named_exec_t- 与 BIND 相关的可执行文件通常存储在
/usr/sbin/目录中,使用named_exec_t类型自动标记。 named_log_t- 与 BIND 相关的日志文件通常存储在
/var/log/目录中,使用named_log_t类型自动标记。 named_unit_file_t/usr/lib/systemd/system/目录中的与 BIND 相关的文件使用named_unit_file_t类型自动标记。
