1.SELinux定制策略

SELinux定制策略

       从FC4和RHEL4开始，码下策略版本采用的码下是1.X，这些系统通常会提供策略源代码的码下RPM包。随着FC5的码下我爱代挂系统APP源码升级，策略版本提升到了2.X，码下引入了模块（module）的码下概念，使得一套策略源代码能够支持Multi-LevelSecurity（MLS）和non-MLS模式。码下FC5版本不再直接提供源代码包，码下但提供如audit2allow、码下semanage和semodule这样的码下工具，可用于开发简单的码下cpa赚钱源码策略模块，如增加新的码下ROLE功能时，推荐从refpolicy源代码开始。码下

       安装策略源代码时，码下首先从CVS服务器获取最新的码下源码，如果遇到编译问题，access物业源码确保相关SELinux包已更新到最新版本。安装后的源代码目录包含三个文件，如sudo.fc定义文件上下文，sudo.te是类型强制执行定义，sudo.if是手机赛马源码模块接口定义。在/etc/selinux/refpolicy/src/policy目录下，通过修改build.conf和执行make命令生成SELinux模块，然后将SELINUXTYPE设为refpolicy并重启系统。

       在开发程序策略时，一般步骤包括：为文件和端口分配类型标签，adb工具 源码设置Type Enforcement（包括Domain迁移和访问许可），加载策略，先在permissive模式下运行程序，检查日志并用audit2allow生成访问许可。不断重复这个过程直到没有违规日志，最后切换到enforcing模式，正式使用策略。对于已有的服务，只需简单修改对应的策略模块，例如使用Azureus下载工具时，需要为它创建一个新的azureus.pp模块，包括定义文件上下文、类型强制执行规则和接口调用。

扩展资料

       SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux® 上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上，也可以作为其他发行版上容易安装的包得到。