SElinux相关概念补充(一)

   SElinux中的权限和传统意义上的没有什么本质上的区别。就是主体(subject)对某个对象(object)执行某种动作的允许或拒绝。

   SElinux中定义了一组对象(object)的类(class)，这里的class和面向对象里的class有点不同，出发点主要是为了更容易的组织使用一组权限，本质上就是权限的集合。和文件系统相对应的类是filesystem，和文件对应的类是file，当然和目录文件对应的类是dir，每一个类都有一组与它相对应的权限，比如：filesystem类表明挂载，卸载，获得文件系统的属性，设置磁盘份额，对文件系统打上标签(label，也就是个文件系统设置安全属性)等。文件类怎表明了普通文件所具有的权限，比如读，写，获得、设置属性，上锁，标签，链接，重命名等。和网络相关的类有 tcp_socket针对tcp套接字，netif类针对网络接口，node类表明网络结点，打个比方，netif类表明的权限是能在tcp，udp和原始套接字上发送、接受数据包。

   属性(attribute)：从某个角度上观察具有某些相似性的一组安全类型(type)──这里又牵涉到了类型的概念，如下介绍。属性和类型是多对多的关系，一个属性可以和很多类型相关联，而一个类型也可以包含多个属性。file_type属性是对不同文件系统满足风容易的关联所有普通文件，这可以使得具体的某个进程(domain)更方便的访问所有的普通文件类型。port_type属性，是和所有分配给端口的类型相关联的属性，这就可以让 SElinux控制端口的绑定，意味着某个守护进程能否使用某个端口是和它自己的类型相关的。

   类型(type)：SElinux中区分计算机资源的单元。比如，default_t 类型包含file_type, sysadmfile这两个属性，表明那些支持扩展属性的文件系统却没有在配置文件file_contexts中具体指明了扩展属性的普通文件。

   角色(role)：本质上就是域(domain)的集合。

   UID(user identity)：这里的用户ID和传统unix/linux的uid是又区别的，彼此完全独立的。传统的uid可以通过set*uid系统调用经常的被更改，而SElinux的Uer ID则可以通过配置文件，限定一些特定域的程序才能够更改，比如login，crond，sshd等。