SELinux文件path上下文不适用于正则expression式

基于评论中的build议，我已经根据可读性进行了重新格式化。

我有一个使用google authenticator的RADIUS服务器，SELinux阻止了RADIUS访问用户主目录（这些也是winbind用户， /home/API dir在/home/API ）中的.google_authenticator文件。 我试图通过build立以下策略文件来访问它：

 $ cat ./google-authenticator.fc /home/API(/.*)?/\.google_authenticator gen_context(system_u:object_r:radiusd_google_authenticator_t,s0) $ cat ./google-authenticator.te policy_module(radiusd_google_authenticator, 0.0.10) require { type radiusd_t; type user_home_dir_t; type admin_home_t; } type radiusd_google_authenticator_t; role object_r types radiusd_google_authenticator_t; allow radiusd_t radiusd_google_authenticator_t:file { rename create unlink rw_file_perms }; files_type(radiusd_google_authenticator_t) filetrans_pattern(radiusd_t, user_home_dir_t, radiusd_google_authenticator_t, file, ".google_authenticator") filetrans_pattern(radiusd_t, admin_home_t, radiusd_google_authenticator_t, file, ".google_authenticator") 

安装这些显示在semanage fcontext -lpath，但它不起作用：

  $ sudo semanage fcontext -l | grep google_authenticator /home/API(/.*)?/\.google_authenticator all files system_u:object_r:radiusd_google_authenticator_t:s0 $ matchpathcon /home/API/tcr/.google_authenticator /home/API/tcr/.google_authenticator unconfined_u:object_r:user_home_t:s0 

奇怪的是，当我改变它，以便path完全匹配（即使与逃脱期间），它的工作原理：

• fail2ban正则expression式不匹配
• Bash：如何使用触摸和正则expression式复制时间戳？
• searchLinux的尾巴工具，以regx着色和抑制行？
• egrep匹配组不打印？
• Postfix虚拟域名：如何接受除两个以外的所有子域名？

 $ sudo semanage fcontext -l | grep google_authenticator /home/API/tcr/\.google_authenticator all files system_u:object_r:radiusd_google_authenticator_t:s0 $ matchpathcon /home/API/tcr/.google_authenticator /home/API/tcr/.google_authenticator system_u:object_r:radiusd_google_authenticator_t:s0 

即使是更奇怪的，正则expression式的工作原理，正如Iain的答案中所提到的，我直接使用semanage添加path而不是策略文件（首先删除策略path，以免冲突）：

 $ sudo semanage fcontext -l | grep google_authenticator $ matchpathcon /home/API/tcr/.google_authenticator /home/API/tcr/.google_authenticator unconfined_u:object_r:user_home_t:s0 $ sudo semanage fcontext -a -t radiusd_google_authenticator_t '/home/API(/.*)?/\.google_authenticator' $ sudo semanage fcontext -l | grep google_authenticator /home/API(/.*)?/\.google_authenticator all files system_u:object_r:radiusd_google_authenticator_t:s0 $ matchpathcon /home/API/tcr/.google_authenticator /home/API/tcr/.google_authenticator system_u:object_r:radiusd_google_authenticator_t:s0 

我也尝试了使用HOME_DIR的各种设置，但也没有运气。

 HOME_DIR/\.google_authenticator -- gen_context(system_u:object_r:radiusd_google_authenticator_t,s0) 

 label_file.c 680 /* 681 * Check for matching specifications in reverse order, so that 682 * the last matching specification is used. 683 */ 

 /etc/selinux/targeted/contexts/files/file_contexts.subs_dist /etc/selinux/targeted/contexts/files/file_contexts.subs /etc/selinux/targeted/contexts/files/file_contexts /etc/selinux/targeted/contexts/files/file_contexts.homedirs /etc/selinux/targeted/contexts/files/file_contexts.local 

 grep user_home_t /etc/selinux/targeted/contexts/files/file_contexts.homedirs /home/[^/]+/.+ user_u:object_r:user_home_t:s0 

 HOME_DIR/(tcr)?/\.google_authenticator -- gen_context(system_u:object_r:audio_home_t) 

 grep tcr /etc/selinux/targeted/contexts/files/* /etc/selinux/targeted/contexts/files/file_contexts.homedirs:/home/[^/]+/(tcr)?/\.google_authenticator -- user_u:object_r:audio_home_t:s0 

 /home/API/one/.google_authenticator /home/API/two/.google_authenticator ... 

 sudo semanage fcontext -a -t mysqld_db_t "/home/API(/.*)?/.google_authenticator" 

 matchpathcon /home/API/one/.google_authenticator /home/API/one/.google_authenticator system_u:object_r:mysqld_db_t:s0 matchpathcon /home/API/two/.google_authenticator /home/API/two/.google_authenticator system_u:object_r:mysqld_db_t:s0