我使用下面的命令检查相关的策略规则,只发现以下2条相关规则:
[root@system1 home]# sesearch -A -s httpd_t -t httpd_sys_content_t -ds -dt
allow httpd_t httpd_sys_content_t:dir { ioctl lock read };
allow httpd_t httpd_sys_content_t:lnk_file { getattr read };
域中的进程httpd_t只能读取dir并lnk_file带有httpd_sys_content_t标记...这是否意味着 SELinuxdir实际上包含了其中的所有文件?
我尝试在互联网上搜索 SELinux 中“dir”的定义,但没有找到任何东西。
操作系统:RHEL 9
SELinux 政策:有针对性的
现在我知道发生了什么事了。
SELinux 有一个概念叫“属性”。类型
httpd_sys_content_t有一个名为 的属性httpd_content_type,并且有一个规则允许httpd_t读取具有该httpd_content_type属性的文件。那么,只要有一个类型具有此httpd_content_type属性,为该属性定义的所有规则都会自动应用于包含的类型。