4.4. sVirt 标记


与受 SELinux 保护的其他服务一样,sVirt 使用基于流程的机制、标签和限制,为虚拟客户机实例提供额外的安全性和控制。标签基于当前运行的虚拟机(动态)自动应用到系统上的资源,但也可以由管理员(静态)手动指定,以满足可能存在的任何特定要求。
要编辑客户机的 sVirt 标签,使用 virsh edit guest_name 命令并添加或编辑 <seclabel> 元素,如下一节所述。<seclabel> 可用作整个客户机的根元素,也可以指定为 <source> 元素的子元素,用于选择给定设备的特定 sVirt 标签。
有关 <seclabel> 元素的综合信息,请参阅 libvirt 上游文档。

4.4.1. sVirt Labels 类型

下表概述了可以分配给虚拟机进程、镜像文件和共享内容等资源的不同 sVirt 标签:
表 4.2. sVirt Labels
类型SELinux 上下文description/Effect
虚拟机进程system_u:system_r:svirt_t:MCS1MCS1 是一个随机选择的字段。目前支持约 500,000 个标签。
虚拟机镜像system_u:object_r:svirt_image_t:MCS1只有具有相同MCS1 字段的 svirt_t 进程才能读取/写入这些镜像文件和设备。
虚拟机共享读取/写入内容system_u:object_r:svirt_image_t:s0所有 svirt_t 进程都可写入到 svirt_image_t:s0 文件和设备。
虚拟机共享只读内容system_u:object_r:svirt_content_t:s0所有 svirt_t 进程都可以读取具有此标签的文件/设备。
虚拟机镜像system_u:object_r:virt_content_t:s0镜像退出时使用的系统默认标签.不允许 svirt_t 虚拟进程读取使用该标签的文件/设备。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.