next up previous
Next: Атрибуты RC Up: Role Compatibility (RC) - Previous: Role Compatibility (RC) -

Вхождения Роли и Типа

Каждое вхождение роли имеет следующие поля:



Поле Вхождения Роли Тип/Значение Описание
имя строка из 15 знаков Имя роли
role_comp 64 битный вектор Подходящие роли (по 1 Биту на роль) = процессы ролей могут изменяться без chown (setuid)
type_comp_fd Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) Подходящие типы файлов/каталогов для запрошенных типов (1 Бит на тип и запрос) = значение True/False, к типу которого можно обращаться по запросу
type_comp_dev Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) Подходящие для запрошенных типов типы устройств (1 Бит на тип и запрос)
type_comp_process Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) Подходящие для запрошенных типов типы процессов (1 Бит на тип и запрос)
type_comp_ipc Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) Подходящие для запрошенных типов типы процессов (1 Бит на тип и запрос)
type_comp_scd Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) Подходящие для запрошенных типов типы SCD (1 Бит на тип и запрос)
admin_type нету, системный или ролевой администратор Роль для администрирования роли/типа RC
def_fd_create_type Номер типа file/dir или специальное значение Тип новых файлов/каталогов (для запрета создания используйте no_create, для выбранного типа требуются права CREATE)
def_process_create_type Номер типа процесса или специальное значение Тип новых (ответвленных/дублированных) процессов (для запрета создания используйте no_create, для выбранного типа требуются права CREATE)
def_process_chown_type Номер типа процесса или специальное значение Тип процесса после chown (setuid) (для запрета создания используйте no_chown)
def_process_execute_type Номер типа процесса или специальное значение Тип процесса после выполнения (старт новой программы) (для запрета создания используйте no_execute)
def_ipc_create_type Номер типа IPC или специальный флаг Типы новых каналов IPC (для запрета создания используйте no_create, для выбранного типа требуются права CREATE)



Вхождение admin_type указывает административные права RC для ролей, типов и специфических для RC атрибутов: none = нет доступа, системный администратор = только чтение, ролевой администратор = полный доступ. Они не дают никаких прав доступа объекту, это делается только подходящими установками.

Типы вхождений имеют поля имен (строка из 15 знаков). Только вхождения типа файл/каталог имеют дополнительное значение переменной type_fd_need_secdel, которые указывает на необходимость безопасного удаления/усечения файлов этого типа.

Типы SCD являются фиксированными и представляют одну область доступных системных данных каждый. Они также используются для административных прав, в данный момент только для auth_administration. Совместимость SCD означает доступность средств SCD. Вдобавок, специальный объект SCD 'other' используется для контроля целевых запросов типа NONE.


next up previous
Next: Атрибуты RC Up: Role Compatibility (RC) - Previous: Role Compatibility (RC) -