SELinux domain_auto_trans()

Question

Dokumentation zu diesem Makro finden Sie imRHEL4, Red Hat SELinux-HandbuchBeachten Sie, dass der Abschnitt zu diesem Makro in nachfolgenden Versionen des Handbuchs verschwunden ist.

domain_auto_trans und domain_trans

Wenn Sie möchten, dass ein bestimmter Übergang das Standardübergangsverhalten für eine Domäne ist, verwenden Sie domain_auto_trans aus core_macros.te. Es ruft domain_trans() auf, um die eigentliche Arbeit zu erledigen. Wenn Sie nur einen Übergang zulassen und den Kontext mit setexeccon() behandeln möchten, können Sie nur domain_trans() verwenden:
# domain_auto_trans(parent_domain, program_type, child_domain)
  define(`domain_auto_trans',`
  domain_trans($1,$2,$3)
  type_transition $1 $2:process $3;
 ')
Das Makro domain_trans erteilt dem übergeordneten Prozess einen typischen Satz von Berechtigungen für den Übergang zur neuen Domäne. Es legt einige Dontaudit-Regeln fest, erlaubt dem übergeordneten Prozess, das Programm auszuführen, erlaubt dem untergeordneten Prozess, die neue Domäne zu nutzen und Dateibeschreibungen mit dem übergeordneten Prozess auszutauschen und zu verwenden sowie über eine benannte Pipe (FIFO) in die alte Domäne zurückzuschreiben. Schließlich erhält die neue Domäne die Berechtigung, das Programm zu lesen und auszuführen, wodurch das Programm zum Einstiegspunkt für die Domäne wird.

Da für ein bestimmtes Typenpaar nur ein Übergang der Standard sein kann, können Sie eine domain_auto_trans-Regel gefolgt von mehreren domain_trans-Regeln haben, die andere Optionen zulassen. Diese können von einer sicherheitsbewussten Anwendung verwendet werden.

Answer 1

Dokumentation zu diesem Makro finden Sie imRHEL4, Red Hat SELinux-HandbuchBeachten Sie, dass der Abschnitt zu diesem Makro in nachfolgenden Versionen des Handbuchs verschwunden ist.

domain_auto_trans und domain_trans

Wenn Sie möchten, dass ein bestimmter Übergang das Standardübergangsverhalten für eine Domäne ist, verwenden Sie domain_auto_trans aus core_macros.te. Es ruft domain_trans() auf, um die eigentliche Arbeit zu erledigen. Wenn Sie nur einen Übergang zulassen und den Kontext mit setexeccon() behandeln möchten, können Sie nur domain_trans() verwenden:
# domain_auto_trans(parent_domain, program_type, child_domain)
  define(`domain_auto_trans',`
  domain_trans($1,$2,$3)
  type_transition $1 $2:process $3;
 ')
Das Makro domain_trans erteilt dem übergeordneten Prozess einen typischen Satz von Berechtigungen für den Übergang zur neuen Domäne. Es legt einige Dontaudit-Regeln fest, erlaubt dem übergeordneten Prozess, das Programm auszuführen, erlaubt dem untergeordneten Prozess, die neue Domäne zu nutzen und Dateibeschreibungen mit dem übergeordneten Prozess auszutauschen und zu verwenden sowie über eine benannte Pipe (FIFO) in die alte Domäne zurückzuschreiben. Schließlich erhält die neue Domäne die Berechtigung, das Programm zu lesen und auszuführen, wodurch das Programm zum Einstiegspunkt für die Domäne wird.

Da für ein bestimmtes Typenpaar nur ein Übergang der Standard sein kann, können Sie eine domain_auto_trans-Regel gefolgt von mehreren domain_trans-Regeln haben, die andere Optionen zulassen. Diese können von einer sicherheitsbewussten Anwendung verwendet werden.

SELinux domain_auto_trans()

Antwort1

verwandte Informationen