Red Hat Training
A Red Hat training course is available for RHEL 8
7.3. 在 MCS 中定义类别标签
您可以通过编辑 setrans.conf 文件来管理和维护 MCS 类别标签,或使用 MLS 级别的 MCS 类别组合。在这个文件中,SELinux 在内部敏感度和类别级别及其人类可读标签之间保持映射。
注意
类别标签只让用户更易于使用类别。无论您定义标签或是否定义标签,MCS 的效果都相同。
先决条件
-
SELinux 模式设置为
enforcing。 -
SELinux 策略被设置为
targeted或mls。 -
已安装
policycoreutils-python-utils和mcstrans软件包。
步骤
通过编辑文本编辑器中的
/etc/selinux/<selinuxpolicy>/setrans.conf文件来修改现有类别或创建新类别。根据您使用的 SELinux 策略,将 <selinuxpolicy> 替换为targeted或mls。例如:# vi /etc/selinux/targeted/setrans.conf在策略的
setrans.conf文件中,使用语法s_<security level>_:c_<category number>_=<category.name>来定义您的场景所需的类别组合,例如:s0:c0=Marketing s0:c1=Finance s0:c2=Payroll s0:c3=Personnel
-
您可以使用
c0到c1023中的类别号。 -
在
targeted策略中,使用s0安全级别。 -
在
mls策略中,您可以标记各个敏感度级别和类别的组合。
-
您可以使用
-
可选:在
setrans.conf文件中,您还可以标记 MLS 敏感度级别。 - 保存并退出 文件。
要使更改有效,重启 MCS 翻译服务:
# systemctl restart mcstrans
验证
显示当前类别:
# chcat -L上面的示例会产生以下输出:
s0:c0 Marketing s0:c1 Finance s0:c2 Payroll s0:c3 Personnel s0 s0-s0:c0.c1023 SystemLow-SystemHigh s0:c0.c1023 SystemHigh
其他资源
-
setrans.conf(5)手册页。
