一、 建立用戶關聯
1、 在RHEL5中,默認的
targeted策略中,只存在三個 selinux用戶,分別是system_u、root、user_u,表示系統擁有都,管理員和其他所有用戶,可以用以下命令列出selinux用戶:#semanage user
-l2、 為了使linux的普通用戶和selinux 的user_u建立聯繫,執行以下的命令:
#useradd bob
#useradd tom
#useradd lisi
#semanage login –a bob
#semanage login –a tom
#semanage login –a lisi
3、 可以用以下命令查看結果:
#semanage login -l
可以發現用戶bob tom lisi
已經與user_u建立了聯繫二、 配置類別
1、在selinux中,類別有兩種表示方法,一種是由系統識別的,使用的是一些代碼;還有一種是可以供人閱讀的字元串.需要一種機制把這兩種方法聯繫起來,這個任務是由配置文件
setrans.conf承擔的,首先看一下當前的類別情況:#chcat -L
2、可以看到目前有兩種類別,現在在該文件中加入以下內容,表示要添加Marketing和Personnel兩個類別,代號分別為s0:c1和s0:c2
#cd /etc/selinux/targeted
#vim setrans.conf
加入s0:c1=Marketing
S0:c2=Personnel
現執行chcat –L查看,可以發現這兩個類別已經添加上了
3、 為了使添加的類別在系統中生效,需要重啟服務:
#service mcstrans restart
三、 把類別分配給用戶
1、 假設用戶bob是業務部的,tom是人力資源部的,
lisi是財務部的,執行以下命令表示把這兩個類別分配給用戶#chcat –l -- Marketing bob
#chcat –l -- Personnel tom
#chcat -l -- Marketing, Personnel lisi
2、 用以下命令查看用戶所分配到的類別:
#chcat -L -l bob
注意用戶只有在下一次登錄的時候才能生效
四、 把類別分配給文件
1、 假設用戶bob在自己的主目錄下創建一個文件
tom.txt#su - bob
$echo “tom.txt”>tom.txt
2、 用命令查看該文件初始的安全上下文
$ls -Z
此時文件還沒有分到類別
3、用以下命令把
Marketing 分給tom.txt文件$chcat -- Marketing tom.txt
注意tom自己 是不屬於Marketing的
4、然後再查看tom.txt,按照selinux的規定tom是不能查看tom.txt 內容的,現在tom可以查看是現在的selinux處於隨意的狀態,此時會在 /var/log/messages中留下記錄
5、用root用戶使用命令使selinux處於強制狀態
#setenforce 1
Tom再查看時將不會成功
本文出自 「洋仔 Learning……」 博客,謝絕轉載!
[火星人 ] Selinux的應用示例已經有474次圍觀