SELinux零知识学习三十四、SELinux策略语言之角色和用户（5）

接前一篇文章：SELinux零知识学习三十三、SELinux策略语言之角色和用户（4）

三、SELinux策略语言之角色和用户

SELinux提供了一种依赖于类型强制（类型增强，TE）的基于角色的访问控制（Role-Based Access Control），角色用于组域类型和限制域类型与用户之间的关系，SELinux中的用户关联一个或多个角色，使用角色和用户，RBAC特性允许有效地定义和管理最终授予Linux用户的特权。

2. 角色和角色语句

除了object_r外，SELinux没有内置任何角色，与类型一样，角色也需要在策略中进行声明，与角色有关的有4个策略语句：角色声明语句、角色allow规则、角色转换规则和角色控制语句。

（2）角色转换规则

由于程序在执行过程中角色可能发生变化，某种程度上与类型相似，因此在策略语言中，需要一个方法实现这种转换的自动化。对于类型而言，我们使用了type_transition规则进行自动化处理；而对于角色，我们就使用角色转换规则role_transition，这个规则在作用和语法上与type_transition很类似。如：