Begriffe
- domain
- Schutzbereich: der Type eines Prozesses ist seine Domain [SElinuxWiki]
- context/label
- user:rol:type:range , wobei range nur in MLS wichtig ist.
[SElinuxWiki]
- fcontext der der File-Context
- Username wird auf security context abgebildet. (semanage)
- Rolle/ role
- im Sinne von RBAC: Nutzer haben Rollen, Rollen dürfen auf Domains zugreifen [Redhat]
- Type
- ein Attribut zur Typerzwingung (Type enforcement). Ein Typ definiert einen Domain/Bereich für Prozesse und einen für Dateien. SELinux-Politikregeln bestimmen welcher Bereich auf welchen Zugreifen kann. [Redhat]
Konvention:Endet mit _t
- level
- bei MLS/MCS: /etc/selinux/targeted/setrans.conf definiert Nutzernamen für die levels - mit semanage editieren [Redhat]
Umsetzung erfolgt durch mcstransd(8)
- Objektklassen
-
wie Dateien file,Verzeichnisse dir usw.
Jede Objektklasse hat eine Menge von Rechten Permissions:
z.B. file hat create,read,write,unlink.
Die Klassen sind in der Referenzpolicy unter policy/flask/security_classes definiert, die Erlaubnisrechte unter Policy/flask/access_vectors. Diese sind auch hier
dokumentiert
Attribute als Grundmechanismus von einem Dateisystem
- attr(5) : Extended attributes
- erweitern die inode-Daten (stat(2)) durch key-value-Paare.
Dient für ACL-Listen und selinux und so.
- getfattr(1): Abfrage
- setfattr(1): Setzen
Wenn man ein Dateisystem ohne extra Attribute mountet, kann man eine Option context=securitylabel beim mounten angegeben werden. [TSAM]