红帽全球峰会25.2. 类型
SELinux 目标策略中用于提供高级进程隔离的主要权限控制方法是 Type Enforcement。所有文件和进程都设置了类型标签:type 为进程定义 SELinux 域,以及文件的 SELinux 类型。SELinux 策略规则定义类型如何相互访问,无论是访问某一类型的域还是访问其他域的域。只有在存在允许访问的特定 SELinux 策略规则时才允许访问。
以下类型与 OpenShift 搭配使用:不同的类型允许您配置灵活的访问:
进程类型
openshift_t- OpenShift 进程与
openshift_tSELinux 类型关联。
可执行文件上的类型
openshift_cgroup_read_exec_t- SELinux 允许具有此类型的文件将可执行文件转换为
openshift_cgroup_read_t域。 openshift_cron_exec_t- SELinux 允许具有此类型的文件将可执行文件转换为
openshift_cron_t域。 openshift_initrc_exec_t- SELinux 允许具有此类型的文件将可执行文件转换到
openshift_initrc_t域。
可写入类型
openshift_cgroup_read_tmp_t- 此类型允许 OpenShift 控制组(cgroup)读取和访问
/tmp目录中的临时文件。 openshift_cron_tmp_t- 此类型允许在
/tmp中存储 OpenShift cron 作业的临时文件。 openshift_initrc_tmp_t- 此类型允许将 OpenShift
initrc临时文件存储在/tmp中。 openshift_log_t- 具有此类型的文件被视为 OpenShift 日志数据,通常存储在
/var/log/目录下。 openshift_rw_file_t- OpenShift 有权读取并写入使用此类型标记的文件。
openshift_tmp_t- 此类型用于将 OpenShift 临时文件存储在
/tmp中。 openshift_tmpfs_t- 这种类型允许将 OpenShift 数据存储在 tmpfs 文件系统上。
openshift_var_lib_t- 此类型允许将 OpenShift 文件存储在
/var/lib/目录中。 openshift_var_run_t- 此类型允许将 OpenShift 文件存储在
/run/或/var/run/目录中。
