13.7. 管理 子系统的 SELinux 策略

SELinux 是强制访问控制规则的集合,用于限制未经授权的访问和篡改。有关 SELinux 的详情,请查看 SELinux 用户和管理员指南。

13.7.1. 关于 SELinux

基本上,SELinux 识别系统上的 对象,可以是文件、目录、用户、进程、套接字或 Linux 主机上的任何其他操作。这些对象对应于 Linux API 对象。然后,每个对象 都映射到安全上下文,它定义了对象的类型以及如何在 Linux 服务器上工作。
系统进程在 SELinux 域中运行。每个域都有一组规则,用于定义 SELinux 域如何与系统中的其他 SELinux 对象交互。然后,这组规则决定进程可以访问哪些资源以及它可以对这些资源执行的操作。
对于 CertificateCertificate Systemnbsp;System,每个子系统类型都在该子系统类型的特定域中运行。该子系统类型的每个实例都属于同一个 SELinux 域,无论系统中有多少个实例,例如,如果服务器上安装了三个 CA,则所有三个实例都属于 http_port_t SELinux 域。
所有子系统的规则和定义组成了整个证书证书系统空间;系统 SELinux 策略。CertificateCertificate Systemnbsp; 安装子系统时,系统 SELinux 策略已经配置,并且每次使用 pkispawn 添加子系统时,都会更新所有 SELinux 策略,或使用 pkidestroy 删除。
CertificateCertificate Systemnbsp;System 子系统使用 SELinux 设置运行,这意味着即使需要所有 SELinux 规则,也可以成功执行证书证书系统操作。
默认情况下,证书Certificate Systemnbsp;System 子系统受 SELinux 策略限制。