Каждое вхождение роли имеет следующие поля:
Поле Вхождения Роли | Тип/Значение | Описание |
имя | строка из 15 знаков | Имя роли |
role_comp | 64 битный вектор | Подходящие роли (по 1 Биту на роль) = процессы ролей могут изменяться без chown (setuid) |
type_comp_fd | Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) | Подходящие типы файлов/каталогов для запрошенных типов (1 Бит на тип и запрос) = значение True/False, к типу которого можно обращаться по запросу |
type_comp_dev | Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) | Подходящие для запрошенных типов типы устройств (1 Бит на тип и запрос) |
type_comp_process | Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) | Подходящие для запрошенных типов типы процессов (1 Бит на тип и запрос) |
type_comp_ipc | Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) | Подходящие для запрошенных типов типы процессов (1 Бит на тип и запрос) |
type_comp_scd | Множество 64 векторов из 64 частиц каждый (64x64 Битная Матрица) | Подходящие для запрошенных типов типы SCD (1 Бит на тип и запрос) |
admin_type | нету, системный или ролевой администратор | Роль для администрирования роли/типа RC |
def_fd_create_type | Номер типа file/dir или специальное значение | Тип новых файлов/каталогов (для запрета создания используйте no_create, для выбранного типа требуются права CREATE) |
def_process_create_type | Номер типа процесса или специальное значение | Тип новых (ответвленных/дублированных) процессов (для запрета создания используйте no_create, для выбранного типа требуются права CREATE) |
def_process_chown_type | Номер типа процесса или специальное значение | Тип процесса после chown (setuid) (для запрета создания используйте no_chown) |
def_process_execute_type | Номер типа процесса или специальное значение | Тип процесса после выполнения (старт новой программы) (для запрета создания используйте no_execute) |
def_ipc_create_type | Номер типа IPC или специальный флаг | Типы новых каналов IPC (для запрета создания используйте no_create, для выбранного типа требуются права CREATE) |
Вхождение admin_type указывает административные права RC для ролей, типов и специфических для RC атрибутов: none = нет доступа, системный администратор = только чтение, ролевой администратор = полный доступ. Они не дают никаких прав доступа объекту, это делается только подходящими установками.
Типы вхождений имеют поля имен (строка из 15 знаков). Только вхождения типа файл/каталог имеют дополнительное значение переменной type_fd_need_secdel, которые указывает на необходимость безопасного удаления/усечения файлов этого типа.
Типы SCD являются фиксированными и представляют одну область доступных системных данных каждый. Они также используются для административных прав, в данный момент только для auth_administration. Совместимость SCD означает доступность средств SCD. Вдобавок, специальный объект SCD 'other' используется для контроля целевых запросов типа NONE.