Контексты SELinux
Когда SELinux применяется в системе, он проверяет правила, по которым процесс может получить доступ к каким файлам, каталогам и портам.
Каждый файл, процесс, каталог и порт имеют специальную метку безопасности, известную как контекст SELinux, который является именем, используемым для определения, может ли процесс получить доступ к файлу, каталогу или порту.
По умолчанию политика не допускает никакого взаимодействия, если только явное правило не разрешает доступ.
Метки SELinux имеют разные контексты:user, role, type, и sensitivity.
Целевая политика – это политика по умолчанию, включенная в CentOS 7, которая определяет свои правила на основе третьего контекста, который является контекстом выбранного типа.
Имена контекста типа обычно заканчиваются на _t.
Вы можете скопировать контекст SELinux одного каталога в другой каталог с помощью команды restorecon.
Выполните действия, описанные ниже, чтобы установить тот же контекст для каталога /temp_dir, что и для каталога /home.
1. Чтобы установить тот же контекст в каталог /temp_dir, что и /home, мы можем использовать метки замещения:
# semanage fcontext -a -e /home /temp_dir
2. Теперь, чтобы изменить контекст каталога / temp_dir,
# restorecon -R -v /temp_dir
Для получения дополнительной информации об этом см. Справочную страницу semanage:
# man semanage
Просмотр контекста SELinux
Большинство команд Linux имеют параметр -Z для отображения контекста SELinux.
Например, ps, ls, cp и mkdir используют опцию -Z для отображения или установки контекста SELinux файла, каталога, процесса или порта.
Например, команда ls может использоваться с опцией -Z для просмотра контекста SELinux файлов в каталоге, как показано в следующей командной строке:
# ls -Z /var/tmp
