3.2. SELinux 用户的角色和权限
SELinux 策略将每个 Linux 用户映射到 SELinux 用户。这允许 Linux 用户继承 SELinux 用户的限制。
您可以通过调整策略中的布尔值来自定义 SELinux 策略中受限用户的权限。您可以使用 semanage boolean -l 命令确定这些布尔值的当前状态。要列出所有 SELinux 用户、MLS 和 MCS 的级别和范围,请以 root 用户身份使用 semanage user -l 命令。
| User | 默认角色 | 其他角色 |
|---|---|---|
|
|
|
|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
|
|
请注意,system_u 是系统进程和对象的特殊用户身份,system_r 是关联的角色。管理员不得将这个 system_u 用户和 system_r 角色关联到 Linux 用户。另外,unconfined_u 和 root 是没有限制的用户。因此,与这些 SELinux 用户关联的角色不会包含在下表 类型和 SELinux 角色的访问权限中。
每个 SELinux 角色都与 SELinux 类型对应,并提供特定的访问权限。
| Role | Type | 使用 X Window 系统登录 | su 和 sudo | 在主目录和 /tmp 中执行(默认) | Networking |
|---|---|---|---|---|---|
|
|
| 是 | 是 | 是 | 是 |
|
|
| 否 | 否 | 是 | 否 |
|
|
| 是 | 否 | 是 | 仅限 Web 浏览器(Mozilla Firefox、GNOME Web) |
|
|
| 是 | 否 | 是 | 是 |
|
|
| 是 |
仅 | 是 | 是 |
|
|
| 是 | 是 | 是 | |
|
|
| 是 | 是 | 是 | |
|
|
| 是 | 是 | 是 | |
|
|
| 是 | 是 | 是 | |
|
|
| 是 | 是 | 是 | |
|
|
|
仅在 | 是 | 是 | 是 |
有关非管理员角色的更多详细描述,请参阅 第 3.3 节 “SELinux 中约束的非管理员角色”。
有关管理员角色的详细描述,请参阅 第 3.4 节 “SELinux 中受限的管理员角色”。
要列出所有可用角色,请输入 seinfo -r 命令:
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
请注意,seinfo 命令由 setools-console 软件包提供,该软件包默认不会安装。
其他资源
-
selinux-policy-doc软件包安装的seinfo (1),semanage-login (8)和xguest_selinux (8)手册页 - 如何使用布尔值修改 SELinux 设置
