SELinux进阶篇 应用目标策略管理非限制进程和用户

二、管理限制和非限制用户

在前面的介绍中曾经提到过，每个传统的Linux用户在SELinux中都被映射为一个SELinux用户。这使得Linux用户能够继承在SELinux用户上的访问控制。用户可以使用semanage login -l命令来查看两类用户之间的具体映射情况，如图6所示：

图6  使用semanage命令查看用户映射

举个例子，在Fedora 10中，Linux用户默认被映射到SELinux的_default_login中，从而映射为unconfined_u用户类型。

下面通过一个更加具体的在SELinux中添加新用户的例子，来说明SELinux是怎么来映射Linux用户的。该例子的具体操作步骤如下，如图7所示：

图7  在SELinux中添加新用户

（1）以root用户身份，运行useradd命令，添加一个新用户liyang：

1. #useradd liyang 

（2）以root用户身份，运行passwd命令，修改该用户的密码：

1. #passwd liyang 

（3）退出当前的root运行身份，以liyang的身份重新登录Linux。重新登录后，SELinux将为用户liyang生成SELinux上下文，查看该用户的上下文：

1. # id -Z  
2. unconfined_u:unconfined_r:unconfined_t:s0  
3.  

可以清楚地看到，当Linux添加一个新用户时，SELinux将默认地映射该用户为unconfined_u类型，角色为unconfined_r，以及unconfined_t级别。

限制和非限制用户都需要接受可执行和可写的内存检查，并且受MCS和MLS机制的约束。如果一个非限制的用户执行了一个从unconfined_t域向一个允许的域转变的应用程序，非限制用户仍要接受那个转表到的域的限制。这个就保证了即使一个用户是非限制的，这个应用也是受限的，因此，软件的漏洞所引起的风险就能得到限制