文档章节

The role of Roles

陈洪波
 陈洪波
发布于 2015/05/19 19:36
字数 612
阅读 15
收藏 0

SELinux也提供了可一种基于角色的访问控制(RBAC,Role-based access control)。SELinux的RBAC的特征是建立在TE基础上的。在SELinux中的访问控制在根本上是TE,即类型强制访问策略。角色能够限制一个进程转换后的类型,该类型是在进程安全上下文中基于角色标识符转换的。通过这种方式,一个策略定义者能够创建一个角色,该角色被允许转换成一系列的域类型(假设TE规则允许这种转换),因此来定义角色的限制。同样,使用我们在图表2-5中的密码程序的例子。虽然根据类型强制访问策略规则,密码程序被允许从user_t的域类型转换成新的passwd_t域,joe的角色也一定被允许该转换的发生。为了能够阐述清楚,我们扩展了密码程序的例子。

这里写图片描述

我们已经添加了描述进程的安全上下文的角色部分(user_r)。我们也添加了一个新的规则,role声明:

role user_r type passwd_t

role语句声明了角色标识符,并且将声明的角色和类型联系起来。上一个描述声明了角色user_r(如果它在策略中还没有被声明的话),并且将标识符passwd_t和角色user_r联系起来。该联系意味着passwd_t类型在安全上下文中被允许和角色user_r共存。如果没有这个role声明的话,新的上下文joe:user_r:user_t将不能被创建,并且execve()系统调用也将会失败,即使TE策略允许joe的类型(user_t)所有必要的访问。

一个策略定义者能够定义有约束的角色并且将这些角色和特定的用户联系起来。例如,想象一下,在我们的策略中,我们也创建了一个叫做retricted_user_r角色,在所有方面和user_r是一样的,除了他没有和passwd_t类型相联系。因此,如果joe的角色是restricted_user_r而不是user_r,joe将不能运行密码程序
即使TE规则允许该域标识的访问。

在第六章中,”角色和用户”详细的讨论了在SELinux中角色的意义,特别指出了角色是如何被创建的,并且又是如何和用户相联系的。

本文转载自:http://blog.csdn.net/hongbochen1223/article/details/45547597

陈洪波
粉丝 2
博文 76
码字总数 1552
作品 0
济南
程序员
私信 提问
MongoDB 开启用户认证登录

添加用户 username : 用户名;password : 密码; roles:为权限集 用户权限集 获取所有权限集 readAnyDatabase 对所有数据库中的collection可读,同时包含listDatabases权限 readWriteAnyDa...

dingdayu
2016/12/23
166
0
使用hibernate HQL查询得到的对象转成json后为什么会有 "$ref": "$.roles[0]"这样的数据

User,Role,Resource三个表,User与role多对多,role与Resource多对多, HQL语句:from Tuser t join fetch t.roles role where t.id= :id 得到的对象转为JSON后, "resources": [ { "create......

Peter2017
2017/09/29
876
2
Database User Roles

Database User Roles Every database includes the following client roles: read Provides the ability to read data on all non-system collections and on the following system collecti......

imhaha
2015/09/21
35
0
Secure JSP Taglibs

Secure JSP Taglibs 提供了一个用来保护页面内容的标签库,通过判断当前访问者是否具备某种角色来控制页面的内容显示。使用方法: <secure:one roles="role1toevaluate, role2toevaluate"> ...

匿名
2010/03/03
1K
0
Hibernate映射——多对多关联映射(八)

映射原理 不论是单向关联还是双向关联都是通过第三张表,将两个表中的主键放到第三张做一个关联。用第三张表来解决可能会造成数据冗余的问题。 举例 一个用户(User)对多个角色(Role),一...

architect刘源源
2018/01/11
15
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring Cloud Sleuth 整合 feign 源码分析之修改span名称

org.springframework.cloud.sleuth.instrument.web.client.feign.TraceFeignClient 包括创建span一些参数 需求场景: 由于项目中有restful 风格的http请求,sleuth feign 的span名称默认是u...

xiaomin0322
28分钟前
4
0
Less 延伸

extend 是一个 Less 伪类,它通过使用 :extend 选择器在一个选择器中扩展其他选择器样式。 扩展语法 扩展可以是附加到选择器,也可以是集中放置在规则,看上去像是带有选择器参数的可选伪类,...

凌兮洛
28分钟前
4
0
RedHat 7.0系统中安装mysql 5.7.22

在安装之前,首先要查看的是,你的系统中有没有已经安装过的情况。键入rpm -qa|grep mysql,如果无任何显示,则表示没有安装过相关组件,如果有,则根据显示出来的名字,键入rpm -e --nodeps...

最菜最菜之小菜鸟
34分钟前
4
0
RPA:企业信息孤岛的“克星”

为了降本增效,近来世界范围内掀起一股流程优化的热潮,转型升级成为众多企业时刻挂在嘴边的热词。不过在企业数字化转型的过程中,信息孤岛的出现,往往成为了企业升级的绊脚石。 信息孤岛:...

UiBot
34分钟前
4
0
我的测试

我的测试

daiison
34分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部