7.3. 在 MCS 中定义类别标签
您可以通过编辑 setrans.conf
文件来管理和维护 MCS 类别标签,或使用 MLS 级别的 MCS 类别组合。在这个文件中,SELinux 在内部敏感度和类别级别及其人类可读标签之间保持映射。
注意
类别标签只让用户更易于使用类别。无论您定义标签或是否定义标签,MCS 的效果都相同。
先决条件
-
SELinux 模式设置为
enforcing
。 -
SELinux 策略被设置为
targeted
或mls
。 -
已安装
policycoreutils-python-utils
和mcstrans
软件包。
步骤
通过编辑文本编辑器中的
/etc/selinux/<selinuxpolicy>/setrans.conf
文件来修改现有类别或创建新类别。根据您使用的 SELinux 策略,将 <selinuxpolicy> 替换为targeted
或mls
。例如:# vi /etc/selinux/targeted/setrans.conf
在策略的
setrans.conf
文件中,使用语法s_<security level>_:c_<category number>_=<category.name>
来定义您的场景所需的类别组合,例如:s0:c0=Marketing s0:c1=Finance s0:c2=Payroll s0:c3=Personnel
-
您可以使用
c0
到c1023
中的类别号。 -
在
targeted
策略中,使用s0
安全级别。 -
在
mls
策略中,您可以标记各个敏感度级别和类别的组合。
-
您可以使用
-
可选:在
setrans.conf
文件中,您还可以标记 MLS 敏感度级别。 - 保存并退出 文件。
要使更改有效,重启 MCS 翻译服务:
# systemctl restart mcstrans
验证
显示当前类别:
# chcat -L
上面的示例会产生以下输出:
s0:c0 Marketing s0:c1 Finance s0:c2 Payroll s0:c3 Personnel s0 s0-s0:c0.c1023 SystemLow-SystemHigh s0:c0.c1023 SystemHigh
其他资源
-
您系统上的
setrans.conf (5)
手册页