# SELinux: Referentiel des classes d'objet et des Permissions  

{{INLINETOC}}

Ce document contient une liste des genres d'objet (object classes) et des permissions que l'on peut accorder :  avec les réserves suivantes:

  -  Les descriptions des autorisations servent uniquement à donner une idée générale des objectifs des autorisations; une permission peut entraîner de nombreuses opérations.
  -  Le développement de SELinux étant en cours, ce document peut être incomplet ou inexact.

# Common Permission Sets

## common database

^ Permission ^ Description ^
| create | Crée un nouvel objet de base de données. |
| drop | Supprime un objet de base de données. |
| getattr | Obtenir les attributs d'un objet de base de données. |
| setattr | Définissez les attributs d'un objet de base de données. |
| relabelfrom | Modifier le contexte de sécurité en fonction du type existant. |
| relabelto | Modifier le contexte de sécurité en fonction du nouveau type. |

## common file

^ Permission ^ Description ^
| getattr | Obtenir les attributs de fichier pour le fichier, tels que le mode d'accès. (par exemple, stat, certains ioctls. ...) |
| relabelto | Ré-étiqueter dans un nouveau contexte de sécurité. |
| unlink | Supprimer le lien physique (supprimer). |
| ioctl | Demande d'appel du système de contrôle IO non traitées par d'autres autorisations. |
| execute | Exécuter |
| append | Écrire dans un fichier ouvert avec O \ _APPEND. |
| read | Lire le contenu du fichier. |
| setattr | Modifier les attributs de fichier pour un fichier tel que le mode d'accès. (par exemple, chmod, certains ioctls, ...) |
| swapon | Permet au fichier d'être utilisé pour la pagination / échange d'espace. |
| write | Ecrire dans un fichier. |
| lock | Définit et désactive les verrous de fichiers. |
| create | Créer un nouveau fichier. |
| rename | Renomme un fichier. |
| mounton | Utiliser comme point de montage; utile uniquement pour les répertoires et les fichiers sous Linux. |
| quotaon | Utiliser comme un fichier de quota. |
| relabelfrom | Ré-étiquetez de l'ancien contexte de sécurité. |
| liink | Créer un autre lien dur au fichier |

## common ipc

^ Permission ^ Description ^
| write | Écrire. |
| destroy | Détruire. |
| unix\_write | Accès en écriture générique. |
| getattr |Obtenir des attributs, par exemple Opération IPC\_STAT *ctl. |
| create | Créer. |
| read | Lire |
| setattr | Modifier les attributs, par exemple IPC\_SET.  |
| unix\_read | Accès en lecture générique. |
| associate | Associer une clé |

## common socket 

^ Permission ^ Description ^
| append | Ecrire pour ouvrir fd marqué avec O \ _APPEND. |
| relabelfrom | Modifier le contexte de sécurité en fonction du type existant. |
| create | Créer un nouveau socket. |
| read| Lire de la prise. |
| sendto | Envoyer à la prise. |
| connecter | Lancer la connexion. |
| recvfrom | Vérification NetLabel héritée; obsolète par les pairs recv |
| envoyer \ _msg | Legacy Check; n'est plus présent. |
| bind | Lie un nom à la prise. |
| lock | Applique le verrouillage de fichier sur un socket. |
| ioctl | Demandes d'appel du système de contrôle IO non traitées par d'autres autorisations. |
| getattr | Obtenir les attributs de socket, par exemple fstat. |
| write | Ecrire à socket. |
| setopt | Définir les options de socket. |
| getopt | Obtenir les options de socket. |
| listen | Écoutez les connexions. |
| setattr | Changer les attributs du socket. |
| shutdown  | Ferme la connexion. |
| relabelto | Modifie le contexte de sécurité en fonction du nouveau type. |
| recv\_msg | Obsolète. |
| accept | Accepter une connexion. |
| name\_bind | Associer avec un port ou un fichier; pour les sockets AF\_INET, contrôle la relation entre une socket et son numéro de port; pour AF\_UNIX sockets, contrôle la relation entre une socket et son fichier |

## common x_device

^ Permission ^ Description ^
| getattr | |
| setattr | |
| use | |
| read | |
| write | |
| getfocus | |
| setfocus | |
| bell | |
| force\_cursor | |
| freeze | |
| grab | |
| manage | |
| list\_property | |
| get\_property | |
| set\_property | |
| add | |
| remove | |

# Kernel Object Classes 

## appletalk_socket 

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## association IPSEC

^ Permission ^ Description ^
| sendto | Envoyer à une association IPSEC. |
| recvfrom | Recevoir d'une association IPSEC. |
| setcontext | Définit le contexte d'une association IPSEC lors de la création. |
| polmatch | Faire correspondre une entrée de stratégie IPSEC |

## blk_file 

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |
| open | Open a block device file. |

# capability

^ Permission ^ Description ^
| chown | Ignorer les restrictions sur la modification de la propriété de fichier et de la propriété de groupe. |
| dac\_override | Ignorez toutes les restrictions d'accès DAC. Vérifié avant dac \ _read \ _search, donc candidat non auditable. |
| dac\_read\ _search | Ignorez les restrictions d'accès en lecture / recherche du CAD. |
| fowner | Remplace toutes les exigences du propriétaire de fichier (par exemple, pour chmod, setxattr) sauf là où fsetid s'applique. |
| fsetid | Remplace les exigences de propriétaire de fichier et de groupe lors de la définition de bits setuid ou setgid sur un fichier. Peut être vérifié comme un effet secondaire sur les opérations chmod et write; candidat audité. |
| kill | Remplace la restriction selon laquelle l'ID utilisateur réel ou effectif d'un processus envoyant un signal doit correspondre à l'ID utilisateur réel ou effectif du processus recevant le signal. |
| setgid | Autorise setgid (2) ou setgroups (2) ou des gids forgés sur des informations d'identification transmises via un socket. |
| setuid | Autoriser set * uid (2). Autorise la transmission d'identifiants forgés sur les informations d'identification transmises via un socket. |
| setpcap | Ajouter une capacité de jeu de bornes à un jeu pouvant être hérité, supprimer la capacité de jeu de limites, modifier des bits sécurisés. |
| linux\_immutable | Accordez le privilège de modifier les attributs de fichier S \ _IMMUTABLE et S \ _APPEND sur les systèmes de fichiers pris en charge. |
| net\_bind \ _service | Autoriser la liaison à faible port. Port <1024 pour TCP / UDP. VCI <32 pour ATM. |
| net\_diffusion | Accordez la diffusion sur le réseau et l'écoute des multidiffusions entrantes. |
| net\_admin | Permet toutes les configurations et modifications de mise en réseau. Voir linux / capacity.h pour plus de détails. |
| net\_raw | Permet d'ouvrir des sockets brutes et des sockets packet. |
| ipc\_lock | Autorise le verrouillage des segments de mémoire partagée et mlock / mlockall. |
| ipc\_owner | Ignorer les contrôles de propriété IPC. |
| sys\_module | Autorise la modification non restreinte du noyau, y compris, sans toutefois s'y limiter, le chargement et la suppression de modules du noyau. Permet la modification du masque de capacité de limite de noyaux. Voir sysctl. |
| sys\_rawio | Accordez la permission d'utiliser ioperm (2) et iopl (2), ainsi que la possibilité d'envoyer des messages à des périphériques USB via / proc / bus / usb. |
| sys\_chroot | Autoriser l'utilisation de l'appel chroot (2). |
| sys\_ptrace | Autoriser une trace de tout processus. |
| sys\_pacct | Autoriser la modification de la comptabilité pour n'importe quel processus. |
| sys\_admin | Trop nombreux pour être énumérés ici (voir /usr/include/linux/capability.h) |
| sys\_boot | Accorder la possibilité de redémarrer le système. |
| sys\_nice | Donne le privilège de changer la priorité de tout processus. Permet de modifier l'algorithme de planification utilisé par n'importe quel processus. |
| sys\_resource | Trop nombreux pour être énumérés ici (voir /usr/include/linux/capability.h pour plus de détails.) |
| sys\_time | Accorde la permission de définir l'heure système et le verrouillage en temps réel. |
| sys\_tty\ _config | Accordez la permission de configurer les périphériques tty. Autorise l'appel vhangup (2) sur un terminal. |
| mknod | Donne la permission de créer des noeuds de périphérique de caractère et de bloc. |
| lease | Donne la capacité de prendre des baux sur un fichier. Pour plus de détails sur les baux, voir fcntl (2). |
| audit\_write | Générez des messages d'audit à partir de l'espace utilisateur. |
| audit\_control | Contrôlez la configuration / les règles d'audit du noyau. Définir l'identifiant de connexion. |
| setfcap | Définir les capacités du fichier. |

## capability2

^ Permission ^ Description ^
| mac\_override | Ignorer les restrictions MAC - Ignoré par SELinux |
| mac\_admin | Modifier la configuration MAC - Pour SELinux, obtenir / définir des valeurs de contexte de sécurité brutes inconnues de la stratégie actuelle. |
| syslog | Configurer le sous-système syslog du noyau |
| wake\_alarm | Déclencher quelque chose qui va réveiller le système |
| block\_suspend | Empêcher le système suspend |

## chr_file

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |
| execute\_no\_trans  | Exécuter un fichier dans le domaine des appelants. |
| entrypoint | Peut être exécuté en tant que point d'entrée du nouveau domaine dans une transition. |
| execmod | Rendre exécutable un mappage de fichier qui a été modifié par copie sur écriture. (Relocalisation de texte) |
| open | Ouvre un fichier de périphérique de caractère. |

## dccp_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| connectto | Connect to server socket. |
| newconn | Create new socket for connection. |
| acceptfrom | Accept connection from client socket. |
| node\_bind | Ability to bind to a node. |
| name\_connect | Connect to a specific port number. |

## dir

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | N/A |
| ioctl | file:ioctl |
| execute | N/A |
| append | N/A |
| read | file:read |
| setattr | file:setattr |
| swapon | N/A |
| write | Accès en écriture général; nécessaire pour ajouter ou supprimer |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | N/A |
| relabelfrom | file:relabelfrom |
| link | N/A |
| search | Search access |
| rmdir | Supprimer un répertoire. |
| remove\_name |Supprimer un fichier du répertoire. |
| reparent | Renommer un répertoire parent différent (.. change). |
| add\_name | Ajouter un fichier dans le répertoire. |
| open | Ouvrir un répertoire. |

## fd

^ Permission ^ Description ^
| use | Autorisation d'utiliser un descripteur de fichier hérité | |

## fifo_file

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |
| open | Open a FIFO. |

## file

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |
| execute\_no\_trans | Exécuter un fichier dans le domaine des appelants. |
| entrypoint | Peut être exécuté comme point d'entrée du nouveau domaine dans une transition |
| execmod | Rendre exécutable un mappage de fichier qui a été modifié par copie sur écriture. (Relocalisation de texte) |
| open | Ouvrir un fichier. |

## filesystem

^ Permission ^ Description ^
| mount | Montez le système de fichiers. |
| remount | Changer les indicateurs de montage du système de fichiers. |
| unmount | Démonter le système de fichiers. |
| getattr | Obtenir les attributs de fichier, tels que le mode d'accès. (par exemple, stat, certains ioctls. ...) |
| relabelfrom | Modifier le contexte de sécurité en fonction du type existant. |
| relabelto | Modifiez le contexte de sécurité en fonction du nouveau type. |
| transition | Transition vers un nouveau SID (changer le contexte de sécurité). |
| associate | Associer un fichier au système de fichiers. |
| quotamod | Modifier les informations de quota. |
| quotaget | Obtenir des informations sur les quotas |

## ipc

 Hérite de: common ipc

^ Permission ^ Description ^
| write | ipc:write |
| destroy | ipc:destroy |
| unix\_write | ipc:unix\_write |
| getattr | ipc:getattr |
| create | ipc:create |
| read | ipc:read |
| setattr | ipc:setattr |
| unix\_read | ipc:unix\_read |
| associate | ipc:associate |

## kernel_service 

^ Permission ^ Description ^
| use\_as\_override | Accorder à un processus le droit de désigner un autre ID de sécurité de processus à utiliser par le noyau en tant que substitution pour la sécurité subjective SELinux lors de l'accès à des éléments pour le compte d'un autre processus. |
| create\_files\_as | Accorder à un processus le droit de nommer une étiquette de création de fichier à utiliser par un service du noyau. |

## key

^ Permission ^ Description ^
| view | |
| read | |
| write | |
| search | |
| link | |
| setattr | |
| create | |

## key_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## lnk_file

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |

## memprotect

^ Permission ^ Description ^
| mmap\_zero | Mmap la première page de mémoire.|

## msg

^ Permission ^ Description ^
| receive | Supprimer un message d'une file d'attente. |
| send | Ajouter un message à une file d'attente. |

## msgq

 Hérite de: common ipc

^ Permission ^ Description ^
| write | ipc:write |
| destroy | ipc:destroy |
| unix\_write | ipc:unix\_write |
| getattr | ipc:getattr |
| create | ipc:create |
| read | ipc:read |
| setattr | ipc:setattr |
| unix\_read | ipc:unix\_read |
| associate | ipc:associate |
| enqueue | Le message peut être ajouté à une file d'attente. |

## netif

^ Permission ^ Description ^
| tcp\_recv | Receive TCP packet. |
| tcp\_send | Send TCP packet. |
| udp\_recv | Receive UDP packet. |
| udp\_send | Send UDP packet. |
| rawip\_recv | Receive raw IP packet. |
| rawip\_send | Send raw IP packet. |
| dccp\_recv | Receive DCCP packet. |
| dccp\_send | Send DCCP packet. |
| ingress | network\_peer\_controls |
| egress |  network\_peer\_controls |

## netlink_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## netlink_audit_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Lecture de l'état du sous-système d'audit (par exemple, AUDIT\_GET). |
| nlmsg\_write | Ecrire l'état du sous-système d'audit (par exemple, AUDIT\_SET). |
| nlmsg\_relay | Envoyer des messages d'audit d'espace utilisateur au système d'audit du noyau. |
| nlmsg\_readpriv | Lire l'état du sous-système d'audit sensible à la sécurité. |
| nlmsg\_tty\_audit | Audit de contrôle TTY |

## netlink_dnrt_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## netlink_firewall_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Read firewall configuration state. |
| nlmsg\_write | Write firewall configuration state. |

## netlink_ip6fw_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Read netlink message. |
| nlmsg\_write | Write netlink message. |

## netlink_kobject_uevent_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## netlink_nflog_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## netlink_route_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Read route configuration state. |
| nlmsg\_write | Write route configuration state. |

## netlink_selinux_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## netlink_tcpdiag_socket 

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Read tcp diagnostics. |
| nlmsg\_write | Unused. |

## netlink_xfrm_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| nlmsg\_read | Read xfrm configuration state. |
| nlmsg\_write | Write xfrm configuration state. |

## node 

^ Permission ^ Description ^
| tcp\_recv | Recevoir un paquet TCP. |
| tcp\_send | Envoyer un paquet TCP. |
| udp\_recv | Recevoir un paquet UDP. |
| udp\_send | Envoyer un paquet UDP. |
| rawip\_recv | Recevoir un paquet IP brut. |
| rawip\_send | Envoyer un paquet IP brut. |
| enforce\_dest | Assurez-vous que le nœud de destination peut appliquer des restrictions au socket de destination. |
| dccp\_recv | Recevoir un paquet DCCP. |
| dccp\_send | Envoyer un paquet DCCP. |
| recvfrom | network\_peer\_controls |
| sendto | network\_peer\_controls |

## packet 

^ Permission ^ Description ^
| send | Envoyer un paquet. |
| receive | Recevoir un paquet. |
| relabelto | Définir une règle d'étiquetage sur le type spécifié
| flow\_in | Deprecated |
| flow\_out | Deprecated |
| forward\_in | |
| forward\_out | |

## packet_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## peer

^ Permission ^ Description ^
| recv | Recevoir d'un homologue de réseau étiqueté |

## process

^ Permission ^ Description ^
| fork | Fork en deux processus. |
| transition | Transition vers un nouveau contexte sur exec(). |
| sigchld | Envoyer le signal SIGCHLD. |
| sigkill | Envoyer un signal SIGKILL. |
| sigstop | Envoyer un signal SIGSTOP |
| signull | Vérifier l'existence d'un autre processus sans envoyer de signal |
| signal | Envoyez un signal autre que SIGKILL, SIGSTOP ou SIGCHLD. |
| ptrace | Joindre à un autre processus de traçage. |
| getsched | Obtenir la priorité d'un processus. |
| setsched | Définir la priorité d'un processus. |
| getsession | Obtenir l'identifiant de session d'un autre processus. |
| getpgid | Obtenir l'ID de processus de groupe d'un processus. |
| setpgid | Définir l'ID de processus de groupe d'un processus. |
| getcap | Obtenez des capacités Linux. |
| setcap | Définir les capacités de Linux. |
| partager | Autoriser le partage d'état avec un processus cloné ou créé |
| getattr | Obtenir les attributs d'un fichier. |
| setexec | Remplace le contexte par défaut pour le prochain exec(). |
| setfscreate | Remplacez le contexte par défaut pour la création de fichier. |
| setrlimit | Changer les limites du processus. |
| noatsecure | Désactiver le nettoyage de l'environnement en mode sécurisé (AT\_SECURE). |
| Siginh | Hériter du signal de l'appelant. |
| rlimitinh | Hériter des limites de ressources de l'appelant. |
| dyntransition | Transition dynamique vers un nouveau contexte. |
| setcurrent | Définir le contexte de processus actuel. |
| execmem | Rendre exécutable un mappage anonyme ou un mappage de fichier privé accessible en écriture. |
| execstack | Rendre la pile de processus principale exécutable. |
| execheap | Rendre le tas exécutable. |
| setkeycreate | Remplacer le contexte par défaut pour la création de clé. |
| setsockcreate | Remplacer le contexte par défaut pour la création de socket. |

## rawip_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| node\_bind | Possibilité de se lier à un nœud. |

## security

^ Permission ^ Description ^
| compute\_user | Obtenir les informations sur l'utilisateur dans selinuxfs. |
| compute\_relabel | Obtenir les informations de ré-étiquetage dans selinuxfs. |
| compute\_create | Obtenir des informations de création dans selinuxfs. |
| compute\_av | Calcule un vecteur d'accès à partir d'une source / cible / classe. |
| compute\_membre | Détermine le contexte à utiliser lors de la sélection d'un membre d'un objet polyinstancié. |
| setenforce | Changer l'état d'application de SELinux. |
| check\_context | Ecrire le contexte dans selinuxfs. |
| load\_policy | Charger la politique de sécurité. |
| setbool | Définir une valeur booléenne. |
| setsecparam | Définir les paramètres de réglage du cache du vecteur d’accès au noyau. |
| setcheckreqprot | Défini si SELinux vérifie le mode de protection d'origine ou le mode de protection modifié (read-implique-exec) pour mmap / mprotect. |

## sem

 Hérite de: common ipc

^ Permission ^ Description ^
| write | ipc:write |
| destroy | ipc:destroy |
| unix\_write | ipc:unix\_write |
| getattr | ipc:getattr |
| create | ipc:create |
| read | ipc:read |
| setattr | ipc:setattr |
| unix\_read | ipc:unix\_read |
| associate | ipc:associate |

## shm

 Hérite de: common ipc

^ Permission ^ Description ^
| write | ipc:write |
| destroy | ipc:destroy |
| unix\_write | ipc:unix\_write |
| getattr | ipc:getattr |
| create | ipc:create |
| read | ipc:read |
| setattr | ipc:setattr |
| unix\_read | ipc:unix\_read |
| associate | ipc:associate |
| lock | (Un)lock page(s) in memory. |

## sock_file

 Hérite de: common file

^ Permission ^ Description ^
| getattr | file:getattr |
| relabelto | file:relabelto |
| unlink | file:unlink |
| ioctl | file:ioctl |
| execute | file:execute |
| append | file:append |
| read | file:read |
| setattr | file:setattr |
| swapon | file:swapon |
| write | file:write |
| lock | file:lock |
| create | file:create |
| rename | file:rename |
| mounton | file:mounton |
| quotaon | file:quotaon |
| relabelfrom | file:relabelfrom |
| link | file:link |
| open | Open a named socket file. |

## socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## system

^ Permission ^ Description ^
| ipc\_info | Obtenir des informations pour un socket ipc. |
| syslog\_mod | Effectuer une opération syslog autre que la journalisation syslog\_read ou de la console. |
| syslog\_read | Effectue une lecture syslog. |
| syslog\_console | Effectuer la console syslog. |

## tcp_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| connectto | Connect to server socket. |
| newconn | Create new socket for connection. |
| acceptfrom | Accept connection from client socket. |
| node\_bind | Ability to bind to a node. |
| name\_connect | Connect to a specific port number. |

## tun_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## udp_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| node\_bind | Possibilité de se lier à un nœud. |

## unix_dgram_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |

## unix_stream_socket

 Hérite de: common socket

^ Permission ^ Description ^
| append | socket:append |
| relabelfrom | socket:relabelfrom |
| create | socket:create |
| read | socket:read |
| sendto | socket:sendto |
| connect | socket:connect |
| recvfrom | socket:recvfrom |
| send\_msg | socket:send\_msg |
| bind | socket:bind |
| lock | socket:lock |
| ioctl | socket:ioctl |
| getattr | socket:getattr |
| write | socket:write |
| setopt | socket:setopt |
| getopt | socket:getopt |
| listen | socket:listen |
| setattr | socket:setattr |
| shutdown | socket:shutdown |
| relabelto | socket:relabelto |
| recv\_msg | socket:recv\_msg |
| accept | socket:accept |
| name\_bind | socket:name\_bind |
| connectto | Connectez-vous à la prise du serveur. |
| newconn | Créer un nouveau socket pour la connexion. |
| acceptfrom | Accepter la connexion du socket client. |

# Database Object Classes

## db_blob

 Hérite de: common database

^ Permission ^ Description ^
| read | Read a blob. |
| write | Write a blob. |
| import | Import a blob. |
| export | Export a blob. |

## db_column

 Hérite de: common database

^ Permission ^ Description ^
| use | Deprecated |
| select | |
| update | |
| insert | |

## db_database

 Hérite de: common database

^ Permission ^ Description ^
| access | |
| install\_module | |
| load\_module | |
| get\_param | Deprecated |
| set\_param | Deprecated |

## db_procedure

 Hérite de: common database

^ Permission ^ Description ^
| execute | Execute a stored procedure. |
| entrypoint | |
| install | |

## db_table 

 Hérite de: common database

^ Permission ^ Description ^
| use | Deprecated |
| select | |
| update | |
| insert | |
| delete | |
| lock | |

## db_tuple

^ Permission ^ Description ^
| relabelfrom | |
| relabelto | |
| use | Deprecated |
| select | |
| update | |
| insert | |
| delete | |

# DBus Object Classes

## dbus

^ Permission ^ Description ^
| acquire\_svc | |
| send\_msg | Envoyer un message sur le bus. |

# MLS Context Translation Object Classes

## context

^ Permission ^ Description ^
| translate | Traduire une étiquette MLS brute. |
| contains | Calculer un sous-ensemble MLS. |

# NSCD Object Classes

## nscd

^ Permission ^ Description ^
| getpwd | |
| getgrp | |
| gethost | |
| getstat | |
| admin | |
| shmempwd | |
| shmemgrp | |
| shmemhost | |
| getserv | |
| shmemserv | |

# Password Object Classes

## passwd

^ Permission ^ Description ^
| passwd | Mettre à jour le mot de passe de l'utilisateur. |
| chfn | Changer les informations de doigt. Par exemple, nom réel, salle de travail, téléphone et téléphone à la maison. |
| chsh | Changer le shell de connexion. |
| rootok | Autoriser la mise à jour si l'utilisateur est root et que le processus dispose de l'autorisation rootok PAM. |
| crontab | crontab sur un autre utilisateur. |

# X Server Object Classes

## x_application_data

^ Permission ^ Description ^
| paste | |
| paste\_after\_confirm | |
| copy | |

## x_client

^ Permission ^ Description ^
| destroy | Ferme un client. |
| getattr | Obtenir les attributs d'un client X |
| setattr | Définir les attributs d'un client X |
| manage | |

## x_colormap

^ Permission ^ Description ^
| create | Créer une nouvelle palette de couleurs. |
| destroy | Libérer une palette de couleurs. |
| read | Lire les cellules de couleur de la palette de couleurs. |
| write | |
| getattr | Obtenir la gamme de couleurs d'un écran. |
| add\_color | |
| remove\_color | |
| install | Copier une palette de couleurs virtuelle dans le matériel d'affichage. |
| uninstall | Supprimer une palette de couleurs virtuelle du matériel d'affichage. |
| use | |

## x_cursor

^ Permission ^ Description ^
| create | Créez un objet curseur arbitraire. |
| destroy | Supprimer un objet curseur. |
| read | |
| write | |
| getattr | Obtenir les attributs du curseur. |
| setattr | Définir les attributs du curseur. |
| use | Associer un objet curseur à une fenêtre. |

## x_device

 Hérite de: common x\_device

^ Permission ^ Description ^
| getattr | x\_device: getattr |
| setattr | x\_device: setattr |
| use | x\_device: use |
| read | x\_device: read |
| write | x\_device: write |
| getfocus | x\_device: getfocus |
| setfocus | x\_device: setfocus |
| bell | x\_device: bell |
| force\_cursor | x\_device: force\_cursor |
| freeze | x\_device: freeze |
| grab | x\_device: grab |
| manage | x\_device: manage |
| list\_property | x\_device: list\_property |
| get\_property | x\_device: get\_property |
| set\_property | x\_device: set\_property |
| add | x\_device: add |
| remove | x\_device: remove |

## x_drawable

^ Permission ^ Description ^
| create | Créer un objet Drawable. |
| destroy | Détruire un Drawable. |
| read | |
| write | |
| blend | |
| getattr | Obtenir les attributs d'un objet Drawable |
| setattr | Définir les attributs d'un objet Drawable |
| list\_child | |
| add\_child | |
| remove\_child | |
| list\_property | |
| get\_property | |
| set\_property | |
| manage | |
| override | |
| show | |
| hide | |
| send | |
| receive | |

## x_event

^ Permission ^ Description ^
| send | |
| receive | |

## x_extension

^ Permission ^ Description ^
| query | |
| use | |

## x_font

^ Permission ^ Description ^
| create | Charger une police. |
| destroy | Libérer (déréférencer) une police. |
| getattr | Obtenir les noms de police, chemin d'accès, etc.
| add\_glyph | |
| remove\_glyph | |
| use | Utiliser une police pour dessiner. |

## x_gc

^ Permission ^ Description ^
| create | Créer un objet Contextes graphiques. |
| destroy | Libérer (déréférencer) un objet Graphics Contexts. |
| getattr | Obtient les attributs de l'objet Contextes graphiques. |
| setattr | Définissez les attributs de l'objet Contextes graphiques. |
| use | |

# x_keyboard

 Hérite de: common x\_device

^ Permission ^ Description ^
| getattr | x\_device: getattr |
| setattr | x\_device: setattr |
| use | x\_device: use |
| read | x\_device: read |
| write | x\_device: write |
| getfocus | x\_device: getfocus |
| setfocus | x\_device: setfocus |
| bell | x\_device: bell |
| force\_cursor | x\_device: force\_cursor |
| freeze | x\_device: freeze |
| grab | x\_device: grab |
| manage | x\_device: manage |
| list\_property | x\_device: list\_property |
| get\_property | x\_device: get\_property |
| set\_property | x\_device: set\_property |
| add | x\_device: add |
| remove | x\_device: remove |

## x_pointer

 Hérite de: common x\_device

^ Permission ^ Description ^
| getattr | x\_device: getattr |
| setattr | x\_device: setattr |
| use | x\_device: use |
| read | x\_device: read |
| write | x\_device: write |
| getfocus | x\_device: getfocus |
| setfocus | x\_device: setfocus |
| bell | x\_device: bell |
| force\_cursor | x\_device: force\_cursor |
| freeze | x\_device: freeze |
| grab | x\_device: grab |
| manage | x\_device: manage |
| list\_property | x\_device: list\_property |
| get\_property | x\_device: get\_property |
| set\_property | x\_device: set\_property |
| add | x\_device: add |
| remove | x\_device: remove |

## x_property

^ Permission ^ Description ^
| create | Créer un objet de propriété. |
| destroy | Libérer (déréférencer) un objet de propriété. |
| read | Lire une propriété. |
| write | Ecrire une propriété. |
| append | Ajouter une propriété. |
| getattr | Obtenir les attributs d'une propriété. |
| setattr | Définir les attributs d'une propriété. |

## x_resource

^ Permission ^ Description ^
| read | |
| write | |

## x_screen

^ Permission ^ Description ^
| getattr | |
| setattr | |
| hide\_cursor | |
| show\_cursor | |
| saver\_getattr | |
| saver\_setattr | |
| saver\_hide | |
| saver\_show | |

## x_selection

^ Permission ^ Description ^
| read | |
| write | |
| getattr | |
| setattr | |

## x_server

^ Permission ^ Description ^
| getattr | |
| setattr | |
| record | |
| debug | |
| grab | |
| manage | |

## x_synthetic_event

^ Permission ^ Description ^
| send | |
| receive | |
| Navigation menu | |