在开启了SELinux的系统中,登录用户也有特定的安全上下文,可以用id -Z查看:
接下来说一下如何在策略文件中定义登录用户的默认安全上下文
1.在seusers中定义每个登录用户SELinux用户,如果不想为每一个用户都定义SELinux用户,可以使用__default__指定未定义SELinux用户时使用的默认SELinux用户名:
2.SELinux子系统启动后,会根据登录用户名,在/etc/selinux/specified-policy/seusers文件中查找对应的SELinux用户名,如上图,root对应的SELinux用户名是system_u
3.获取登录用户的SELinux用户名后,进入/etc/selinux/specified-policy/contexts/users目录,查找以SELinux用户名为命名的文件,如果存在这个文件,则使用文件中定义的安全上下文作为登录用户的安全上下文:
4.如果/etc/selinux/specified-policy/contexts/users下没有对应的SELinux用户名文件,则查找/etc/selinux/specified-policy/contexts/default_contexts文件,使用文件中定义的安全上下文作为登录用户的安全上下文
5.如果/etc/selinux/specified-policy/contexts/default_contexts文件中没有定义任何安全上下文,则查找/etc/selinux/specified-policy/contexts/failsafe_context文件,使用文件中定义的安全上下文作为登录用户的安全上下文
6.如果/etc/selinux/specified-policy/contexts/failsafe_contex文件中没有定义任何安全上下文,则使用策略规则中定义的sid kernel的安全上下文,作为登录用户的安全上下文