|
私有策略文件(.te):这个文件包括了模块专用的声明和规则,通常,所有模块类型和属性声明都包括在.te 文件中,以及授予这些类型和属性核心访问权的规则。
外部接口文件(.if):这个文件包括模块接口,这些接口是其它模块访问这个模块的类型和属性。
标记策略文件(.fc):这个文件包括与这个模块有关的文件上下文标记语句。
gen_require()宏,用它列出该接口使用的策略标识符(类型、属性、角色、布尔变量等的名字)
allow ????????表示允许主体对客体执行允许的操作。
dontaudit ??表示不记录违反规则的决策信息,且违反规则不影响运行。
auditallow 表示允许操作并记录访问决策信息。
neverallow 表示不允许主体对客体执行指定的操作。
capability ?Linux 中表示权利的特权
process ? ? SELinux 中的进程
security ? ?内核中的 SELinux 安全服务器
system ? ? ?整个系统
typeattribute ? ? ? 语句允许你关联前面声明的类型和属性,在类型声明时,如果没有关联属性,就可以使用这个语句进行类型和属性的关联.
fifo_file 和 sock_file 表示用于 IPC 的特定文件,fifo_file 客体类别代表fifo 文件,也叫做命名管道
association ? ? ? ? IPsec 安全联盟
key_socket ? ? ? ? ?PF_KEY 协议家族的套接字,用于管理IPsec 中的密钥
netif ? ? ? ? ? ? ? ????????网络接口(如 eth0)
tcp_socket ? ? ? ? ??TCP 套接字
udp_socket ? ? ? ? ?UDP 套接字
netlink_audit_socket ? ?用于控制审核的 Netlink 套接字
netlink_dnrt_socket ? ? 用于控制 DECnet 路由的 Netlink 套接字
netlink_firewall_socket 用于创建用户空间防火墙过滤器的Netlink 套接字
netlink_ip6fw_socket ? ?用于创建用户空间防火墙过滤器的Netlink 套接字
netlink_kobject_uevent_socket ? 用于在用户空间接收内核事件通知的Netlink 套接字
netlink_nflog_socket ? ?用于接收Netfilter日志消息的Netlink套接字
netlink_route_socket ? ?用于控制和管理网络资源如路由表和 IP地址的 Netlink 套接字
netlink_selinux_socket ?用于接收策略载入通知,强制模式切换和清空 AVC 缓存的 Netlink 套接字
netlink_tcpdiag_socket ?用于监视 TCP 连接的 Netlink 套接字
netlink_socket ? ? ? ? ?所有其它的 Netlink 套接字
netlink_xfrm_socket ? ? 用于获取、管理和设置 IPsec 参数的Netlink 套接字
node ? ? ? ? ? ? ? ? ? ?代表一个 IP 地址或一段 IP 地址的主机
packet_socket ? ? ? ? ? 协议在用户空间执行的原始套接字
rawip_socket ? ? ? ? ? ?既不是 TCP 也不是 UDP 的 IP 套接字
unix_dgram_socket ? ? ? 本地机器上(unix 域)的 IPC 数据报套接字
unix_stream_socket ? ? ?本地机器上(unix 域)的 IPC 流套接字
optional_policy() 这个宏允许我们随意调用一个接口
|