SELinux 타입 정책
DAC 권한이 허용하더라도 enforcing 상태의 MAC 정책이 막으면 접근은 실패한다. root 프로세스도 confined 도메인에서는 정책 안에 갇힌다.
주체
httpd 프로세스
httpd_t
객체
/var/www/html/index.html
httpd_sys_content_t
연산
파일 read, 디렉토리 search, 소켓 bind 같은 권한 단위
정책
allow httpd_t httpd_sys_content_t:file read
AVC denial 또는 접근 허용
허용 규칙이 있으면 접근, 없으면 AVC denial 기록
허용되는 웹 콘텐츠
`restorecon -Rv /var/www/html`로 파일 컨텍스트를 되돌리면 httpd가
정적 파일을 읽을 수 있다.
차단되는 민감 파일
httpd가 침해되어도 `/etc/shadow`의 shadow_t 타입에는 정책상 read
권한이 없어 접근이 거부된다.