19、SELinux策略：目标示例策略与参考策略解析

SELinux策略：目标示例策略与参考策略解析

目标示例策略

目标示例策略源自严格示例策略，二者在结构和组织上极为相似。严格策略旨在充分利用SELinux的所有功能，为大多数程序提供强大的安全保障；而目标策略的目标是隔离高风险程序，在其他方面使SELinux保持中立。目标策略的优势在于，它能为Linux系统增添显著的安全性，同时降低对现有用户程序造成问题的风险。该策略主要关注面向网络的系统服务（即那些最容易受到外部攻击的组件），通常不对本地程序和普通用户施加额外限制。由于在增强安全性和降低应用程序过度损坏风险之间取得了良好平衡，目标策略成为RHEL和FC系统的标准策略。

若已安装目标示例策略（详见附录A），可在/etc/selinux/targeted/src/policy/目录下查看其源文件。在大多数方面，目标示例策略源文件与严格示例策略源文件极为相似，因此这里不详细介绍目标文件结构，而是着重强调二者的差异。

严格示例策略和目标示例策略的主要区别在于对无限制域类型（unconfined_t）的使用，以及对其他用户域类型（如sysadm_t、user_t）的移除。这也意味着严格示例策略的基本角色结构被移除（所有用户以system_r身份运行），并且几乎所有用户运行的程序都以unconfined_t域类型执行。

无限制域的定义位于./domain/unconfined.te文件中。需注意，在目标示例策略的./do