Taro |Taro |559_Taro |Taro |568là một mô-đun có thể tải hỗ trợ điều khiển truy cập bắt buộc dựa trên kèo bóng đá hôm nay và ngày mai (MAC) dựa trênSelinuxTaro |Taro |70Taro |_Taro |Taro |720
Taro |Taro |789_Taro |Taro |9Taro |4Phần F.40.7.
Taro |2288_Taro |23Taro |8SelinuxTaro |2356_Taro |2457PostgreSQL. Từ quan điểm củaTaro |2550_Taro |2559, Mô -đun này cho phépPostgreSQLĐể hoạt động như một trình quản lý đối tượng không gian người dùng. Mỗi bảng hoặc quyền truy cập chức năng được bắt đầu bởi truy vấn DML sẽ được kiểm tra đối với chính sách bảo kèo bóng đá hôm nay và ngày mai hệ thống.PostgreSQL.
Taro |2939_Taro |2948Taro |2953_Taro |3054System_u: Object_r: sepgsql_table_t: S0. Mỗi quyết định kiểm soát truy cập liên quan đến hai kèo bóng đá hôm nay và ngày mai: kèo bóng đá hôm nay và ngày mai của đối tượng cố gắng thực hiện hành động và kèo bóng đá hôm nay và ngày mai của đối tượng mà hoạt động sẽ được thực hiện.
TheTaro |3809_Taro |3825Câu lệnh cho phép gán nhãn bảo kèo bóng đá hôm nay và ngày mai cho đối tượng cơ sở dữ liệu.
Taro |4202_Taro |42Taro |Taro |Taro |42Taro |6_Taro |4239Linux2.6.28 trở lên vớiTaro |4324_Taro |4333Đã bật. Nó không có sẵn kèo bóng đá hôm nay và ngày mai bất kỳ nền tảng nào khác.Taro |4436_Taro |44482.Taro |.Taro |0 trở lên vàSelinux-Policy3.9.Taro |3 trở lên (mặc dù một số phân phối có thể đặt lại kèo bóng đá hôm nay và ngày mai quy tắc cần thiết vào kèo bóng đá hôm nay và ngày mai phiên bản chính sách cũ hơn).
ThesestatusLệnh cho phép bạn kiểm tra trạng thái củaTaro |4752_Taro |476Taro |. Một màn hình điển hình là:
$ sestatus
nếuSelinuxTaro |5Taro |28_Taro |5226
Taro |5236_Taro |5268--with-selinuxTaro |5383_Taro |5398Postgresql: Tài liệu:) hoặcTaro |5624_Taro |5665Taro |5674_Taro |5689Postgresql: Tài liệu:Taro |5794_Taro |58Taro |6Taro |5837_Taro |5855Taro |5860_Taro |5894
Taro |5904_Taro |5943Taro |5963_Taro |5972Taro |5977_Taro |5987shared_preload_l LibriesTaro |6092_Taro |6Taro |08Taro |6Taro |29_Taro |6Taro |46Taro |6Taro |5Taro |_Taro |627Taro |sepgsql.sqlTrong mỗi cơ sở dữ liệu. Điều này sẽ cài đặt các chức năng cần thiết để quản lý nhãn bảo kèo bóng đá hôm nay và ngày mai và gán nhãn bảo kèo bóng đá hôm nay và ngày mai ban đầu.
Taro |6442_Taro |65Taro |9Taro |6540_Taro |6549Các chức năng và nhãn bảo kèo bóng đá hôm nay và ngày mai được cài đặt. Điều chỉnh các đường dẫn hiển thị khi thích hợp cho cài đặt của bạn:
Taro |6685_Taro |7Taro |Taro |6
Taro |7Taro |28_Taro |725Taro |Taro |7275_Taro |7287Taro |7292_Taro |7299Selinux-Policy:
/etc
Taro |7950_Taro |8002
Nếu quá trình cài đặt hoàn thành mà không có lỗi, bây giờ bạn có thể khởi động máy chủ bình thường.
ThesepgsqlTaro |84Taro |9_Taro |8443Taro |8463_Taro |8478Taro |8483_Taro |8495Taro |85Taro |5_Taro |8524Taro |8529_Taro |8537Phần 3Taro |.Taro |.3Taro |866Taro |_Taro |87Taro |2Taro |8736_Taro |8748. Ngoài ra, có một cách để chạy kèo bóng đá hôm nay và ngày mai bài kiểm tra để kiểm tra xem một thể hiện cơ sở dữ liệu đã được thiết lập đúng choTaro |889Taro |_Taro |8900.
Do bản chất củaSelinux, Chạy kèo bóng đá hôm nay và ngày mai bài kiểm tra hồi quy chosepgsqlYêu cầu một số bước cấu hình bổ sung, một số trong đó phải được thực hiện dưới dạng gốc.
kèo bóng đá hôm nay và ngày mai bài kiểm tra thủ công phải được chạy trongTaro |9202_Taro |92Taro |9Thư mục của cây xây dựng PostgreSQL được cấu hình. Mặc dù chúng yêu cầu một cây xây dựng, kèo bóng đá hôm nay và ngày mai thử nghiệm được thiết kế để thực hiện đối với máy chủ được cài đặt, đó là chúng có thể so sánh vớiTaro |9430_Taro |9449Taro |9454_Taro |946Taro |Làm cho kiểm tra.
Đầu tiên, thiết lậpsepgsqlTrong cơ sở dữ kèo bóng đá hôm nay và ngày mai làm việc theo hướng dẫn trongPhần F.40.2. Lưu ý rằng người dùng hệ điều hành hiện tại phải có thể kết nối với cơ sở dữ liệu dưới dạng Superuser mà không cần xác thực kèo bóng đá hôm nay và ngày mai khẩu.
Taro |9875_Taro |995Taro |Taro |9972_Taro |9989Taro |9994_20Taro |60sepgsql-regtest.te, được thực hiện bằng cách sử dụnglàm2026Taro |_20449Selinux-Policy-DevelhoặcSelinux-PolicyRPM.) Sau khi được xây dựng, hãy cài đặt gói chính sách này bằng cách sử dụngsemoduleLệnh, tải kèo bóng đá hôm nay và ngày mai gói chính sách được cung cấp vào kernel. Nếu gói được cài đặt chính xác,semodule-Lsepgsql-regtestLà một gói chính sách có sẵn:
$ cd .../prong/sepgsql
thứ ba, bật2Taro |Taro |43_2Taro |Taro |73. Vì lý do bảo kèo bóng đá hôm nay và ngày mai, các quy tắc trongsepgsql-regtestkhông được bật theo mặc định; Thesepgsql_regression_test_modeTham số cho phép kèo bóng đá hôm nay và ngày mai quy tắc cần thiết để khởi chạy kèo bóng đá hôm nay và ngày mai thử nghiệm hồi quy. Nó có thể được bật bằng cách sử dụngSetsebool2Taro |486_2Taro |497
$ sudo setsebool sepgsql_regression_test_mode kèo bóng đá hôm nay và ngày mai
Thứ tư, xác minh vỏ của bạn đang hoạt động trong2Taro |736_2Taro |750miền:
2Taro |792_2Taro |857
xem2Taro |967_2Taro |988Để biết chi tiết về việc điều chỉnh miền làm việc của bạn, nếu cần thiết.
Cuối cùng, chạy tập lệnh kiểm tra hồi quy:
22Taro |3Taro |_22Taro |5Taro |
Tập lệnh này sẽ cố gắng xác minh rằng bạn đã thực hiện tất cả kèo bóng đá hôm nay và ngày mai bước cấu hình một cách chính xác và sau đó nó sẽ chạy kèo bóng đá hôm nay và ngày mai thử nghiệm hồi quy chosepgsqlMô -đun.
Sau khi hoàn thành kèo bóng đá hôm nay và ngày mai bài kiểm tra, bạn khuyên bạn nên vô hiệu hóasepgsql_regression_test_modetham số:
2252Taro |_22574
Bạn có thể thích xóasepgsql-regtestChính sách hoàn toàn:
$ sudo semodule -r sepgsql -regtest
sepgsql.permissive(Boolean232Taro |6_23220 #23396_2342Taro |23442_2345Taro |hoạt động trong chế độ cho phép, bất kể cài đặt hệ thống. Mặc định là tắt.PostgreSql.confTệp hoặc kèo bóng đá hôm nay và ngày mai dòng lệnh máy chủ.
Khi tham số này,sepgsqlkèo bóng đá hôm nay và ngày mai chức năng ở chế độ cho phép, ngay cả khi Selinux nói chung đang làm việc trong chế độ thực thi. Tham số này chủ yếu hữu ích cho mục đích thử nghiệm.
sepgsql.debug_audit(Boolean) 24Taro |94_24Taro |972423Taro |_24424
Chính sách bảo kèo bóng đá hôm nay và ngày mai củaSelinuxCũng có các quy tắc để kiểm soát xem các truy kèo bóng đá hôm nay và ngày mai cụ thể có được ghi lại hay không. Theo mặc định, vi phạm truy kèo bóng đá hôm nay và ngày mai được ghi lại, nhưng không được phép truy kèo bóng đá hôm nay và ngày mai.
Tham số này buộc tất cả kèo bóng đá hôm nay và ngày mai đăng nhập có thể được bật, bất kể chính sách hệ thống.
Mô hình bảo kèo bóng đá hôm nay và ngày mai củaSelinuxMô tả tất cả các quy tắc kiểm soát truy cập là mối quan hệ giữa một thực thể chủ thể (thông thường là máy khách của cơ sở dữ liệu) và một thực thể đối tượng (như đối tượng cơ sở dữ liệu), mỗi đối tượng được xác định bởi nhãn bảo kèo bóng đá hôm nay và ngày mai. Nếu quyền truy cập vào một đối tượng không được dán nhãn, đối tượng được xử lý như thể nó được gán nhãnUnlabeled_t.
2582Taro |_25834sepgsqlCho phép các nhãn bảo kèo bóng đá hôm nay và ngày mai được gán cho các lược đồ, bảng, cột, trình tự, chế độ xem và chức năng. Khisepgsqlđang được sử dụng, các nhãn bảo kèo bóng đá hôm nay và ngày mai được tự động được gán cho các đối tượng cơ sở dữ liệu được hỗ trợ tại thời điểm tạo. Nhãn này được gọi là nhãn bảo kèo bóng đá hôm nay và ngày mai mặc định và được quyết định theo Chính sách bảo kèo bóng đá hôm nay và ngày mai hệ thống, lấy làm nhãn của người tạo, nhãn được gán cho đối tượng cha mẹ của đối tượng mới và tên tùy chọn của đối tượng được xây dựng.
Một đối tượng cơ sở dữ liệu mới về cơ bản kế thừa nhãn bảo kèo bóng đá hôm nay và ngày mai của đối tượng cha, ngoại trừ khi chính sách bảo kèo bóng đá hôm nay và ngày mai có các quy tắc đặc biệt được gọi là quy tắc chuyển đổi loại, trong trường hợp đó có thể áp dụng nhãn khác. Đối với các lược đồ, đối tượng cha là cơ sở dữ liệu hiện tại;
cho kèo bóng đá hôm nay và ngày mai bảng,27Taro |Taro |3_27Taro |30, db_table: chèn, db_table: updatehoặcdb_table: xóađược kiểm tra tất cả kèo bóng đá hôm nay và ngày mai bảng mục tiêu được tham chiếu tùy thuộc vào loại câu lệnh; Ngoài ra,db_table: select274Taro |8_27495WHEREhoặcTrở về27569_2760Taro |kèo bóng đá hôm nay và ngày mai nhật, v.v.
Quyền cấp độ cột cũng sẽ được kiểm tra cho mỗi cột được tham chiếu.db_column: chọnđược kiểm tra kèo bóng đá hôm nay và ngày mai không chỉ các cột được đọc bằngChọn, nhưng những người được tham chiếu trong kèo bóng đá hôm nay và ngày mai câu lệnh DML khác;db_column: kèo bóng đá hôm nay và ngày mai nhậthoặc27992_280Taro |0cũng sẽ được kiểm tra kèo bóng đá hôm nay và ngày mai cột được sửa đổi bởikèo bóng đá hôm nay và ngày mai nhậthoặcChèn.
28Taro |56_28Taro |80
282Taro |Taro |_28263
ở đây,DB_Column: kèo bóng đá hôm nay và ngày mai nhật28328_2835Taro |2837Taro |_28377, vì nó đang được kèo bóng đá hôm nay và ngày mai nhật,db_column: chọn kèo bóng đá hôm nay và ngày mai nhậtsẽ được kiểm tra28508_285Taro |4, vì nó được kèo bóng đá hôm nay và ngày mai nhật vừa được tham chiếu, vàdb_column: chọn286Taro |Taro |_28634T1.Z, vì nó chỉ được tham chiếu.287Taro |8_28744cũng sẽ được kiểm tra ở cấp độ bảng.
28804_2882Taro |2884Taro |_28864được kiểm tra khi chúng tôi tham chiếu một đối tượng chuỗi bằng cách sử dụngChọn; Tuy nhiên, lưu ý rằng chúng tôi hiện không kiểm tra quyền khi thực hiện kèo bóng đá hôm nay và ngày mai chức năng tương ứng nhưlastVal ().
Để xem,db_view: mở rộngSẽ được kiểm tra, sau đó bất kỳ quyền bắt buộc nào khác sẽ được kiểm tra kèo bóng đá hôm nay và ngày mai các đối tượng được mở rộng từ chế độ xem, riêng lẻ.
293Taro |4_2933Taro |2935Taro |_29375sẽ được kiểm tra khi người dùng cố gắng thực thi chức năng như một phần của kèo bóng đá hôm nay và ngày mai vấn hoặc sử dụng lời mời đường dẫn nhanh. Nếu chức năng này là một thủ tục đáng tin cậy, nó cũng kiểm traDB_Procedure: EntryPointQuyền kiểm tra xem nó có thể thực hiện dưới dạng điểm nhập của thủ tục đáng tin cậy hay không.
Để truy kèo bóng đá hôm nay và ngày mai bất kỳ đối tượng lược đồ nào,db_schema: tìm kiếmQuyền được yêu cầu kèo bóng đá hôm nay và ngày mai lược đồ chứa. Khi một đối tượng được tham chiếu mà không có trình độ lược đồ, các lược đồ mà quyền này không có mặt sẽ không được tìm kiếm (như thể người dùng không cósử dụng300Taro |9_30Taro |87
Khách hàng phải được phép truy kèo bóng đá hôm nay và ngày mai tất cả các bảng và cột được tham chiếu, ngay cả khi chúng có nguồn gốc từ các chế độ xem sau đó được mở rộng, để chúng tôi áp dụng các quy tắc kiểm soát truy kèo bóng đá hôm nay và ngày mai nhất quán độc lập với cách thức mà nội dung bảng được tham chiếu.
Hệ thống đặc quyền cơ sở dữ liệu mặc định cho phép kèo bóng đá hôm nay và ngày mai siêu người dùng cơ sở dữ liệu sửa đổi danh mục hệ thống bằng cách sử dụng kèo bóng đá hôm nay và ngày mai lệnh DML và tham chiếu hoặc sửa đổi kèo bóng đá hôm nay và ngày mai bảng bánh mì nướng. kèo bóng đá hôm nay và ngày mai hoạt động này bị cấm khisepgsqlđược bật.
3Taro |049_3Taro |058Xác định một số quyền để kiểm soát các hoạt động chung cho từng loại đối tượng; chẳng hạn như sáng tạo, thay đổi, thả và relabel của nhãn bảo kèo bóng đá hôm nay và ngày mai.
Tạo đối tượng cơ sở dữ kèo bóng đá hôm nay và ngày mai mới yêu cầu3Taro |455_3Taro |463quyền.3Taro |507_3Taro |5Taro |63Taro |52Taro |_3Taro |698
Tạo cơ sở dữ kèo bóng đá hôm nay và ngày maiNgoài ra yêu cầuGetAttrQuyền cho cơ sở dữ kèo bóng đá hôm nay và ngày mai nguồn hoặc mẫu.
32Taro |40_32Taro |8932209_322Taro |9quyền kèo bóng đá hôm nay và ngày mai lược đồ cha.
Tạo một bảng cũng yêu cầu quyền tạo từng cột bảng riêng lẻ, giống như mỗi cột bảng là một đối tượng cấp cao nhất.
Tạo hàm được đánh dấu làLeakproof326Taro |3_32638Cài đặtquyền. (Quyền này cũng được kiểm tra khiLeakproof3276Taro |_32797
khithả32890_329Taro |4thảsẽ được kiểm tra kèo bóng đá hôm nay và ngày mai đối tượng bị xóa. Quyền cũng sẽ được kiểm tra cho các đối tượng bị rơi gián tiếp qua3308Taro |_33090. Xóa kèo bóng đá hôm nay và ngày mai đối tượng có trong một lược đồ cụ thể (bảng, chế độ xem, trình tự và quy trình) Ngoài ra yêu cầuremove_namekèo bóng đá hôm nay và ngày mai lược đồ.
Khi333Taro |4_3332Taro |lệnh được thực thi,SETATTRsẽ được kiểm tra kèo bóng đá hôm nay và ngày mai đối tượng được sửa đổi cho từng loại đối tượng, ngoại trừ các đối tượng công ty con như chỉ mục hoặc kích hoạt của bảng, thay vào đó, các loại quyền được kiểm tra kèo bóng đá hôm nay và ngày mai đối tượng cha. Trong một số trường hợp, cần có quyền bổ sung:
Chuyển một đối tượng sang một lược đồ mới cũng yêu cầuremove_namequyền kèo bóng đá hôm nay và ngày mai lược đồ cũ vàadd_namequyền kèo bóng đá hôm nay và ngày mai cái mới.
ĐặtLeakproof34099_34Taro |3534Taro |55_34Taro |64cho phép.
Sử dụngNhãn bảo kèo bóng đá hôm nay và ngày maikèo bóng đá hôm nay và ngày mai một đối tượng cũng yêu cầuRelabelfromQuyền cho đối tượng kết hợp với nhãn bảo kèo bóng đá hôm nay và ngày mai cũ vàrelabeltoQuyền cho đối tượng kết hợp với nhãn bảo kèo bóng đá hôm nay và ngày mai mới của nó. (Trong trường hợp nhiều nhà cung cấp nhãn được cài đặt và người dùng cố gắng đặt nhãn bảo kèo bóng đá hôm nay và ngày mai, nhưng nó không được quản lý bởi3478Taro |_34790, chỉSetAttrnên được kiểm tra tại đây. Điều này hiện không được thực hiện do hạn chế thực hiện.)
Quy trình đáng tin cậy tương tự như các hàm xác định bảo kèo bóng đá hôm nay và ngày mai hoặc các lệnh setuid.35409_354Taro |835423_3584Taro |
Postgres =# Tạo bảng bảng (
Các hoạt động kèo bóng đá hôm nay và ngày mai nên được thực hiện bởi người dùng quản trị.
Postgres =# Chọn * từ Khách hàng;
Trong trường hợp này, người dùng thông thường không thể tham khảocustomer.credittrực tiếp, nhưng một thủ tục đáng tin cậy37Taro |0Taro |_37Taro |Taro |4Cho phép người dùng in số thẻ tín dụng của khách hàng với một số chữ số được che dấu.
Có thể sử dụng tính năng chuyển đổi miền động của Selinux để chuyển nhãn bảo kèo bóng đá hôm nay và ngày mai của quy trình khách, miền máy khách, sang bối cảnh mới, nếu điều đó được chính sách bảo kèo bóng đá hôm nay và ngày mai cho phép. Miền máy khách cầnSetCiencho phép và cảDyntransitionTừ tên miền cũ đến miền mới.
37948_38Taro |95DyntransitionQuyền chỉ được coi là an toàn khi được sử dụng để chuyển sang một miền với một bộ đặc quyền nhỏ hơn so với bản gốc. Ví dụ:
hồi quy =# chọn sepgsql_getcon ();
Trong ví dụ này, chúng tôi được phép chuyển từ phạm vi MCS lớn hơnCTaro |.CTaro |02338994_390Taro |8C1.c4, nhưng chuyển đổi trở lại đã bị từ chối.
Sự kết hợp giữa chuyển đổi miền động và quy trình đáng tin cậy cho phép một trường hợp sử dụng thú vị phù hợp với vòng đời quy trình điển hình của phần mềm gộp kết nối. Ngay cả khi phần mềm gộp kết nối của bạn không được phép chạy hầu hết các lệnh SQL, bạn có thể cho phép nó chuyển nhãn bảo kèo bóng đá hôm nay và ngày mai của máy khách bằng cách sử dụngsepgsql_setcon ()Hàm từ trong một thủ tục đáng tin cậy; Điều đó sẽ cần một số thông tin xác thực để ủy quyền cho yêu cầu chuyển kèo bóng đá hôm nay và ngày mai máy khách.sepgsql_setcon ()vớinullĐối số, một lần nữa được gọi từ trong một thủ tục đáng tin cậy với kiểm tra quyền thích hợp. Vấn đề ở đây là chỉ có quy trình đáng tin cậy thực sự mới có quyền thay đổi nhãn bảo kèo bóng đá hôm nay và ngày mai hiệu quả và chỉ làm như vậy khi được cung cấp thông tin phù hợp.
Bảng F.324Taro |Taro |78_4Taro |2Taro |Taro |
4Taro |298_4Taro |339
|
4Taro |639_4Taro |649 Mô tả |
|---|
|
Trả về miền máy khách, nhãn bảo kèo bóng đá hôm nay và ngày mai hiện tại của máy khách. |
|
Chuyển miền máy khách của phiên hiện tại sang miền mới, nếu được chính sách bảo kèo bóng đá hôm nay và ngày mai cho phép. Nó cũng chấp nhận |
|
Dịch phạm vi MLS/MCS đủ điều kiện thành định dạng RAW nếu trình nền McStrans đang chạy. |
|
Dịch phạm vi MLS/MCS đã cho thành định dạng đủ điều kiện nếu trình nền McStrans đang chạy. |
|
Đặt nhãn bảo kèo bóng đá hôm nay và ngày mai ban đầu cho tất cả các đối tượng trong cơ sở dữ liệu hiện tại. Đối số có thể là |
Do hạn chế thực hiện, một số hoạt động DDL không kiểm tra quyền.
Do kèo bóng đá hôm nay và ngày mai hạn chế thực hiện, kèo bóng đá hôm nay và ngày mai hoạt động DCL không kiểm tra quyền.
PostgreSQL4484Taro |_44875sepgsql449Taro |0_44922
sepgsql4506Taro |_45449
460Taro |2_46Taro |24
464Taro |6_46484Selinuxkèo bóng đá hôm nay và ngày mai hệ thống của bạn. Nó tập trung chủ yếu vào các hệ điều hành Red Hat, nhưng không giới hạn ở họ.
468Taro |0_46867Selinux. Nó tập trung chủ yếu vào Fedora, nhưng không giới hạn ở Fedora.
Kaigai Kohei<kaigai@ak.jp.nec.com