9、SELinux 用户登录管理与文件上下文控制全解析

SELinux 用户登录管理与文件上下文控制全解析

1. 用户登录管理

在系统处于宽容模式时，sepermit.conf文件提供了三种方式来记录哪些用户将被拒绝访问：
- 普通用户名
- 以@符号为前缀的组名
- 以%符号为前缀的SELinux用户名

每种方式都单独占一行，并且可以添加一到两个选项，这些选项的详细信息记录在sepermit.conf手册页中。

要启用pam_sepermit，只需在认证PAM服务中启用该模块：

auth required pam_sepermit.so

需要注意的是，当切换到宽容模式时，不要忘记移除所有活跃的用户会话，否则正在运行的会话将不受影响。

2. 多实例化目录

pam_namespace.so是我们要介绍的最后一个PAM模块。在深入了解如何配置该模块之前，先了解一下多实例化的概念。多实例化是一种方法，当用户登录系统时，他可以获得特定于其会话的文件系统资源视图，同时隐藏其他用户的资源。这与常规的访问控制不同，在常规访问控制中，其他资源仍然可见，但可能无法访问。

该模块使用Linux内核命名空间技术，为用户会话强制提供一个隔离且特定的文件系统视图，其他用户对文件系统有不同的视图。

例如，假设除了root用户外