基于角色的控制

每一个角色，都和一定的类型相关联，也就是说这个角色可以控制相关联类型的操作，如下图所示
在这里插入图片描述

auditadm用户和selinux auditadm_u用户相关联，auditadm_u用户和auditadm_r角色相关联。
auditadm_r角色相关联的类型，通过seinfo -xr auditadm_r可以看到。
也就是当你以auditadm用户登录时，你能操作auditadm_r相关的类型。

示例

因为auditadm用户不能控制default_t类型，所以开启enforcing时，ipsec，ldk_output , .ver_comp这三个目录和文件，上下文展示的都是？号。
在这里插入图片描述
我们进去ipsec不能进去ipsec目录

当permissive时，则能看到上下文

可以进入ipsec目录

原文链接：https://blog.csdn.net/n1wer/article/details/126727094