init_daemon_domain
init_daemon_domain(httpd_t, httpd_exec_t)
Defines a transition rule that says
Init Scripts executing apps labeled httpd_exec_t should transition to httpd_t.
initrc_t -> httpd_exec_t -> httpd_t
包含了3条规则
1 允许 initrc_t 有执行 httpd_exec_t
allow initrc_t httpd_exec_t : file { execute read getattr };
2 允许 域 initrc_t 进程转换到 httpd_t
allow initrc_t httpd_t : process transition;
3 执行文件httpd_exec_t 有到httpd_t 的entrypoint
allow httpd_t httpd_exec_t : file entrypoint;
而使用selinux refpolicy中宏简化的规则的书写, 把重要的逻辑着重在安全的概念上
类似的有
files_config_file
在旧版中有些宏不能用
如自定义一个端口
type my_ssdp_port_t;
typeattribute my_ssdp_port_t port_type; # 一定要加上这个属性
#否则 semange 不忍 my_ssdp_port_t 类型