-
为新的文件请求调用库程序,版本为rk3399_android7.1_软件开发指南_v2.09_20190527
资源介绍
程序请求的标记允许进程使用 setfscreatecon(3)库程序调用为新的文件请求一个特
殊的安全上下文,在这种情况下,客体将使用请求到的安全上下文进行创建,除非进程缺少
请求的访问权,正常情况下,只有那些扩展了 SELinux 的应用程序或 SELinux实用程序使用
这个特性,标准应用程序创建的文件通过自动标记决定接受正确的安全上下文。
除了在创建文件时设置安全上下文外,与文件有关的客体还可以重新标记,需要用到三
个库程序调用:setfilecon(3),lsetfilecon(3)和 fsetfilecon(3)。只需要适当的
relabelfrom 和 relabelto 许可就可以明确地改变一个客体的标记,这些许可应该由策略进
行严密控制。
客体标记的策略控制
能够改变一个客体的安全上下文需要的权限很大,回顾一下第 4章“客体类
别和许可”中的内容,其中描述到大多数客体类别在策略中都使用
relabelfrom 和 relabelto改变与文件有关的客体的类型,relabelfrom 许可
控制客体的开始类型,relabelto许可控制结果类型,一个域必须要同时具有这
两个许可才能成功地重新标记一个客体,例如,看一下下面的 allow 规则:
allow user_t user_home_t : file { relabelfrom };
allow user_t httpd_user_content_t : file { relabelto };