selinux_example
SELinux中文教程
Getting Started with SE Linux HOWTO:the new SE LinuxGetting Started with SE Linux HOWTO:the new SE Linux(简体中文版)Getting Started with SE Linux HOWTO:the new SE LinuxGetting Started with SE Linux HOWTO: the new SE Linux(译者注:本文的最原始版本为2004年3月所写,此份HOWTO是作者在今年2月根据最新的SE Linux所作的修改后的版本。
新的SE Linux与以前的有比较大的变化,而且这项技术本身也正在飞速的发展,并未最后成熟。
阅读本文是需要对Linux本身有一定深度的了解作为基础的。
本文并不是Linux的初级教程,但却是SE Linux技术的初级教程。
)原著:Faye Coker, March 2004.faye@中文译者:邹立巍, 2006年7月mini.jerry@;重要的提示!注意!我正在根据最新的SE Linux来根本的升级这份文档。
我用了很长时间来做这件事情,不过看来我好像永远没有足够的时间作完它。
我现在正在继续做,请相信我!Faye Coker, Feb 04, 2006(译者注:本人技术出身,英语实在比较差。
翻译如有不当之处,敬请指正!)这份文档已经根据最新的SE Linux做了更改。
旧的"Getting Started with SE Linux HOWTO"的内容将保留在此份文档里,不过绝大多数的内容是根据最新的SE Linux的特点作了修改。
新的SE Linux是基于2.6.*内核的,但是仍然支持2.4.*的内核。
这份文档的大部分内容是原来的,我在需要修改的地方做了调整。
这份文档是美国国家安全局的安全加强的Linux(NSA SE Linux)的概述性的说明。
介绍selinux的书籍
介绍selinux的书籍SELinux (Security-Enhanced Linux) 是一个基于 Linux 内核的安全模块,它为系统提供了强大的访问控制机制和安全策略。
对于想要深入了解 SELinux 的读者来说,下面是几本值得推荐的 SELinux 书籍。
1.《SELinux 权威指南》(SELinux by Example: Using Security Enhanced Linux)- Frank Mayer, Karl MacMillan, David Caplan 这本权威指南是深入理解 SELinux 的必备读物。
作者利用详细的示例,向读者介绍了 SELinux 的概念、基本原则和策略语言。
同时,本书还提供了实际应用场景和故障排除方法。
无论是系统管理员、开发人员还是安全专家,都可以从这本书中获得实用的知识和技巧。
2.《SELinux系统与服务安全》(SELinux System Administration)- Sven Vermeulen这本书是 SELinux 系统管理的权威指南。
作者详细介绍了 SELinux的体系结构、安全策略和管理工具。
读者可以学习如何创建策略模块、配置 SELinux 服务以及分析和解决常见问题。
对于希望在实际环境中部署 SELinux 的系统管理员来说,这本书是一本宝贵的参考资料。
3.《SELinux:保护 Linux 服务器和虚拟机》(SELinux: Securing Linux Servers)- Sven Vermeulen这本书专注于使用 SELinux 来保护 Linux 服务器和虚拟机的安全。
作者详细介绍了如何使用SELinux 策略来限制服务和应用程序的权限,保护关键系统文件和目录。
读者还可以学习如何配置虚拟化环境下的SELinux,确保虚拟机之间的安全隔离。
无论是新手还是经验丰富的系统管理员,这本书都提供了宝贵的实践经验和建议。
selinux详解及配置文件
selinux详解及配置⽂件selinux详解selinux 的全称是Security Enhance Linux,就是安全加强的Linux。
在Selinux之前root账号能够任意的访问所有⽂档和服务;如果某个⽂件设为777,那么任何⽤户都可以访问甚⾄删除。
这种⽅式称为DAC(主动访问机制),很不安全。
DAC⾃主访问控制:⽤户根据⾃⼰的⽂件权限来决定对⽂件的操作,也就是依据⽂件的own,group,other/r,w,x 权限进⾏限制。
Root有最⾼权限⽆法限制。
r,w,x权限划分太粗糙。
⽆法针对不同的进程实现限制。
Selinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有⼀个安全标签(即selinux上下⽂)进⾏区分,只有对应的标签才能允许访问,否则即使权限是777,也是不能访问的。
在selinux中,访问控制属性叫做安全上下⽂,所有客体(⽂件、进程间通讯通道、套接字、⽹络主机等)和主体(进程)都有与其关联的安全上下⽂,⼀个安全上下⽂由三部分组成:⽤户(u)、⾓⾊(r)、和类型(t)标识符。
但我们最关注的是第三部分当程序访问资源时,主体程序必须要通过selinux策略内的规则放⾏后,就可以与⽬标资源进⾏安全上下⽂的⽐对,若⽐对失败则⽆法存取⽬标,若⽐对成功则可以开始存取⽬标,最终能否存取⽬标还要与⽂件系统的rwx权限的设定有关,所以启⽤了selinux后出现权限不符的情况时,你就得⼀步⼀步分析可能出现的问题了。
1.selinux状态查看与配置:selinux的配置⽂件位置:/etc/selinux/config,它还有个链接在/etc/sysconfig/selinux.使⽤config⽂件来配置selinux(通过配置⽂件修改selinux的状态属于永久修改,要重启系统才⽣效)[root@localhost ~]# ls /etc/sysconfig/selinux -llrwxrwxrwx. 1 root root 17 Jan 10 19:48 /etc/sysconfig/selinux -> ../selinux/config(1)配置⽂件[root@make_blog ~]# cat /etc/sysconfig/selinux# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=disabled# SELINUXTYPE= can take one of three two values:# targeted - Targeted processes are protected,# minimum - Modification of targeted policy. Only selected processes are protected.# mls - Multi Level Security protection.SELINUXTYPE=targetedselinux=enforcing#此项定义selinux状态#enforcing-是强制模式系统,它受selinux保护。
selinux中te文件、file_contexts、property_contexts理解
selinux中te文件、file_contexts、property_contexts理解在SELinux(Security-Enhanced Linux)中,有一些关键的文件和配置文件用于定义策略和上下文,其中包括`te` 文件、`file_contexts` 文件和`property_contexts` 文件。
1. TE 文件(Type Enforcement):-定义:TE 文件是SELinux 政策中的一部分,包含了类型强制规则。
这些规则定义了系统上各种对象(如进程、文件、套接字等)如何与彼此交互的策略。
-文件扩展名:TE 文件通常以`.te` 为扩展名。
例如,`example.te`。
-内容:TE 文件包含了SELinux 策略的核心规则,定义了对象的类型、访问规则以及允许或拒绝的操作。
2. file_contexts 文件:-定义:`file_contexts` 文件用于定义文件上下文规则,即文件和目录在SELinux 中的安全上下文。
-文件位置:通常位于`/etc/selinux/targeted/contexts/files/` 目录下。
-内容:文件上下文规则描述了不同路径下文件的安全上下文,以及这些上下文与SELinux 类型之间的映射关系。
3. property_contexts 文件:-定义:`property_contexts` 文件用于定义Android 系统中的文件上下文和属性上下文的映射。
-文件位置:通常位于Android 系统的`/system/etc/selinux/` 目录下。
-内容:文件包含了Android 系统属性(例如`ro.build.type`)和与其关联的SELinux 安全上下文。
这些文件的作用是协同工作,构建SELinux 的安全策略。
TE 文件定义了SELinux 规则,file_contexts 文件定义了文件的安全上下文,而property_contexts 文件则定义了Android 系统中文件属性的安全上下文。
SELinux简明学习指南
Hyphen Wang
2012-07-06
作者:HyphenWang 网址:
目录
1. 介绍 ................................................................................................................................................ 3 2. 运行模式........................................................................................................................................ 6 3. 安全上下文.................................................................................................................................. 11 4. 登陆系统...................................................................................................................................... 22 5. 运行服务...................................................................................................................................... 34 6. 处理安全上下文 ......................................................................................................................... 40 7. 配置布尔值和属性 ..................................................................................................................... 48 8. 审计日志...................................................................................................................................... 57 9. 添加允许规则.............................................................................................................................. 61 10. MLS/MCS 限制 ....................................................................................................................74 11. 自定义安全模块 ..................................................................................................................... 89 12. 常用命令................................................................................................................................103
selinux_example
Selinux 下匿名FTP的使用
在客户端登录FTP服务器时会出发audit deamon产生日志:
[root@sgzhang audit]# audit2why < /var/log/audit/audit.log type=AVC msg=audit(1282568240.414:268): avc: denied { getattr } for pid=4061 comm="vsftpd" path="/pub/root.txt" dev=sda1 ino=3634111 scontext=root:system_r:ftpd_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file Was caused by: Missing or disabled TE allow rule. Allow rules may exist but be disabled by boolean settings; check boolean settings. You can see the necessary allow rules by running audit2allow with this audit message as input.
Selinux 下匿名FTP的使用
1, 在匿名访问目录下创建2个文件进行测试,一个是在该目录下手动创建,这样 该文件会自动继承/var/ftp/pub下的目录上下文的值,一个用mv命令从root目录下移 动过来,这样的文件会保留root目录下的安全上下文,如下 [root@sgzhang ~]# pwd /root [root@sgzhang ~]# echo "aaa123" > root.txt [root@sgzhang ~]# chmod 755 /root/root.txt [root@sgzhang ~]# mv root.txt /var/ftp/pub/ [root@sgzhang ~]# ls -Z /var/ftp/pub/ -rw-r-xr-x root root root:object_r:user_home_t:s0 root.txt -rwxr-xr-x root root root:object_r:public_content_t:s0 test.txt
Linux操作系统配置与管理课件:SELinux的应用
11.3 SELinux配置管理
11.3.2 SELinux配置文件
SELinux的配置文件主目录为/etc/selinux,在RHEL5.x中可用模块包 括下面几种。
targeted:RedHat开发的策略模块,只对Apache、SendMail、 BIND、PostgresQL等网络服务进行保护,不属于这些服务的就都 属于unconfined_t。该模块也可导入性高,可用性好,但是不能 呢个对整体进行保护。
11.3 SELinux配置管理
11.3.4 SELinux日志
日志信息都位于在/var/log/messagesN(该文件有多个,结尾会编号) 单击“系统”—“管理”—“SELinux故障诊断”会出现如图11-1所示
界面,可以查看出错的原因
图11-1
11.3 SELinux配置管理
11.3.5 使用SELinux图形界面配置工具
3. RHEL将SELinux与FTP、Samba、Apache等一系列服务整合,可 为每一个服务制定严格的SELinux策略
11.2 SELINUX的运行状态配置
SELinux运行状态有: enforcing(SELinux安全策略被强制执行) permissing(SELinux系统输出警告信息,但不强制执行安全策略) disable(SELinux被完全终止)三种
11.3 SELinux配置管理
11.3.1 SELinux控制规则及相关概念
1. DAC(Discretionary Access Control,自主访问控制) 2. MAC(Mandatory Access Controll,强制访问控制) 3.安全上下文与TE(类型强制) 4. RABC(基于角色的访问控制
Red Hat Enterprise Linux 8 SELinux使用指南说明书
Red Hat Enterprise Linux 8使用 SELinux防止用户和进程使用增强安全的 Linux (SELinux)与文件和设备执行未授权的交互Last Updated: 2023-07-26Red Hat Enterprise Linux 8 使用 SELinux防止用户和进程使用增强安全的 Linux (SELinux)与文件和设备执行未授权的交互法律通告Copyright © 2023 Red Hat, Inc.The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.Linux ® is the registered trademark of Linus Torvalds in the United States and other countries. Java ® is a registered trademark of Oracle and/or its affiliates.XFS ® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.MySQL ® is a registered trademark of MySQL AB in the United States, the European Union and other countries.Node.js ® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.The OpenStack ® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.All other trademarks are the property of their respective owners.摘要通过配置 SELinux,您可以增强系统的安全性。
selinux机制原理_概述及解释说明
selinux机制原理概述及解释说明1. 引言:1.1 概述:SELinux(Security-Enhanced Linux)是一种用于Linux操作系统的强制访问控制(MAC)安全机制,它通过为每个对象和主体分配唯一的标签,并使用这些标签来管理对系统资源的访问权限,从而提供了更高级别的系统安全性。
SELinux广泛应用于各种Linux发行版中,并成为许多关键部署环境中不可或缺的安全功能。
1.2 文章结构:本文首先对SELinux机制进行概述,包括其基本原理和概念。
然后介绍了安全策略与访问控制在SELinux中扮演的角色,并阐述了标签和标记机制在实现安全性方面的重要性。
接下来,我们将深入了解SELinux的工作原理,包括类型强制访问控制(TE)机制、强制访问控制(MAC)模型与规则引擎等方面。
此外,我们还会提供一些利用SELinux保护系统安全的实例和示例。
在完成对SELinux机制原理和工作原理的详细介绍后,我们将说明如何与Linux 内核集成以及各种实现方式。
这部分将涵盖SELinux在Linux内核中位置、关键组件的介绍,以及如何解决不同发行版和版本之间的差异。
最后,我们会提供一些开启、关闭或配置SELinux策略的方法和技巧指南。
1.3 目的:本文旨在为读者深入了解SELinux机制原理提供一个全面而清晰的解释。
通过详细阐述SELinux的基本概念、工作原理、与Linux内核的集成方式等内容,读者可以更好地理解SELinux对系统安全性的重要性和实际应用。
同时,本文也将帮助读者掌握使用和配置SELinux策略的方法,进一步提升系统的安全性。
2. SELinux机制原理:2.1 SELinux概述:SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,旨在增强Linux操作系统的安全性。
它通过强制策略来控制进程、文件和网络资源的访问,以及保护系统免受恶意软件和未经授权的访问。
SELinux基本概念详解
SELinux基本概念详解SELinux(Security Enhanced Linux),以下是SELinux的三种类型实际操作流程⽰意图:意义:传统的Linux权限控制采⽤⾃主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的rwx权限决定有⽆存取能⼒.这样存在root账户盗⽤可以使⽤任何资源和⽬录如果被设为777权限⽽导致任意存取和操作的问题.SELinux采⽤MAC(Mandatory Access Control, MAC).在访问资源时,判断程序是否有权限,⽽不是判断⽤户.所以,即使不⼩⼼httpd被取得了控制权,他也⽆权浏览/etc/shadow 等重要的⽂档.开启SELinux后,访问⽂件会经过SELinux权限控制和普通的⽤户资源rwx权限控制.SELinux 是整合到核⼼的⼀个核⼼功能,不需要启动什么额外的服务来开启SELinux.开机完成后,SELinux也就启动了.策略模式:SELinux 的运作策略:targeted:针对⽹路服务限制较多,针对本机限制较少,是预设的政策;strict:完整的SELinux 限制,限制⽅⾯较为严格.三种模式:enforcing:强制模式,代表SELinux运作中,且已经正确的开始限制domain/type了;permissive:宽容模式:代表SELinux运作中,不过仅会有警告讯息并不会实际限制domain/type的存取.这种模式可以运来作为SELinux的debug之⽤(看下什么原因导致⽆法访问);disabled:关闭.查询SELinux当前模式:getenforce查询SELinux当前policy详细信息:sestatus打开关闭:临时关闭SELinux: setenforce 0 (设置SELinux 成为permissive模式)临时打开SELinux: setenforce 1 (设置SELinux 成为enforcing模式)彻底关闭SElinux: vi /etc/selinux/config 设置SELINUX=disabled ,重启⽣效log:以下服务可以记录当发⽣SELinux 错误时,将那些有⽤的资讯记录到log,⽤以提供解决的⽅案:setroubleshoot(只记录错误信息)auditd(记录详细信息)基本使⽤:安全性本⽂(Security Context)查看:ls -Z安全性本⽂主要⽤冒号分为三个栏位Identify:role:type⾝份识别:⾓⾊:类型⾝份识别(Identify):root:表⽰root的帐号⾝份,如同上⾯的表格显⽰的是root home⽬录下的资料system_u:表⽰系统程序⽅⾯的识别,通常就是程序user_u:代表的是⼀般使⽤者帐号相关的⾝份⾓⾊(Role):object_r:代表的是档案或⽬录等档案资源,这应该是最常见的system_r:代表的就是程序啦!不过,⼀般使⽤者也会被指定成为system_r 类型(Type) :(最重要!)程序的domain要和⽂件的type相搭配,才能有权限访问.每个⽬录或档案都会有预设的安全性本⽂查询增加修改预设的安全性⽂本:semanage将⽂件修改为当前⽬录默认的安全性⽂本:restorecon -Rv /var/www/html/index.html将⽂件⽬录安全性⽂本设置为和另⼀个⽂件⽬录⼀样:chcon -R --reference=/var/lib/ref_file target_file可以设置和修改访问规则,可以修改⽬录默认安全性⽂本.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Selinux 下匿名FTP的使用
重新设置该bool值: [root@sgzhang audit]# setsebool -P ftp_home_dir 1 (-P是把该修改写到文件,下次启动仍然有效) [root@sgzhang audit]# getsebool ftp_home_dir ftp_home_dir --> on 客户端登录测试: [root@sgzhang audit]# lftp localhost lftp localhost:~> cd pub cd ok, cwd=/pub lftp localhost:/pub> ls -rwxr-xr-x 1 0 0 7 Aug 23 12:35 root.txt -rwxr-xr-x 1 0 0 12 Aug 23 12:19 test.txt -rwxr-xr-x 1 0 0 910974 Aug 04 02:19 yum
Selinux 下匿名FTP的使用
1,确认已经启用了Selinux: [root@sgzhang ~]# getenforce Enforcing 2,启动FTP deamon: [root@sgzhang ~]# ps -efZ |grep vsftpd
root:system_r:ftpd_t:s0 root 12636 1 0 20:13 ? 00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
Selinux 下匿名FTP的使用
使用匿名登录测试: [root@sgzhang pub]# lftp localhost lftp localhost:~> cd pub cd ok, cwd=/pub lftp localhost:/pub> ls -rwxr-xr-x 1 0 0 12 Aug 23 12:19 test.txt -rwxr-xr-x 1 0 0 910974 Aug 04 02:19 yum lftp localhost:/pub> 发现这里看不到root.txt文件
Selinux 下匿名FTP的使用
1, 在匿名访问目录下创建2个文件进行测试,一个是在该目录下手动创建,这样 该文件会自动继承/var/ftp/pub下的目录上下文的值,一个用mv命令从root目录下移 动过来,这样的文件会保留root目录下的安全上下文,如下 [root@sgzhang ~]# pwd /root [root@sgzhang ~]# echo "aaa123" > root.txt [root@sgzhang ~]# chmod 755 /root/root.txt [root@sgzhang ~]# mv root.txt /var/ftp/pub/ [root@sgzhang ~]# ls -Z /var/ftp/pub/ -rw-r-xr-x root root root:object_r:user_home_t:s0 root.txt -rwxr-xr-x root root root:object_r:public_content_t:s0 test.txt
通过search策略集确实存在上述策略,但日志里面还有一个建议如下: Allow rules may exist but be disabled by boolean settings; check boolean settings.
Selinux 下匿名FTP的使用
验证布尔值中有关FTP的定义 [root@sgzhang audit]# getsebool -a |grep ftp allow_ftpd_anon_write --> off allow_ftpd_full_access --> off allow_ftpd_use_cifs --> off allow_ftpd_use_nfs --> off allow_tftp_anon_write --> off ftp_home_dir --> off ftpd_connect_db --> off ftpd_disable_transபைடு நூலகம்--> off ftpd_is_daemon --> on httpd_enable_ftp_server --> off tftpd_disable_trans --> off 发现ftp_home_dir --> off,文件root.txt 的类型刚好是root:object_r:user_home_t:s0 所以更改此bool值就可以
Selinux 下匿名FTP的使用
已知系统启动了Selinux,先查看系统日志,有两个工具可以收集到Selinux产生的 日志,一个是setroubleshoot,对应的软件包为setroubleshoot-server-2.0.5-5.el5 一个是audit,对应的软件包名称是audit-1.7.13-2.el5,先使用audit工具,使用方法 如下: 系统中提供了audit相关的命令,常用的有audit2why和audit2allow,audit产生的日志 放在/var/log/audit, 由于此文件记录的信息很多不宜直接查看,可以借助audit2why 命令,首先启动audit deamon [root@sgzhang audit]# /etc/init.d/auditd status auditd is stopped [root@sgzhang audit]# /etc/init.d/auditd start Starting auditd: [ OK ] [root@sgzhang audit]# /etc/init.d/auditd status auditd (pid 4013) is running...
Selinux 下匿名FTP的使用-第二种方法
既然/var/ftp/pub/test.txt可以访问,那么策略里肯定是allow的,且/var/ftp/pub/test.txt 的安全上下文如下: -rwxr-xr-x root root root:object_r:public_content_t:s0 /var/ftp/pub/test.txt 通过上面的命令验证一下策略集中是否有该定义 [root@sgzhang audit]# sesearch -a -s ftpd_t -t public_content_t | head 4 Found 14 av rules: allow ftpd_t public_content_t : file { ioctl read getattr lock }; allow ftpd_t public_content_t : dir { ioctl read getattr lock search }; allow ftpd_t public_content_t : lnk_file { read getattr };
#============= ftpd_t ============== allow ftpd_t user_home_t:file getattr;
[root@sgzhang cnapp]# sesearch -a -s ftpd_t -t user_home_t Found 8 av rules: allow ftpd_t user_home_t : file { ioctl read write create getattr setattr lock append unlink link rename }; allow ftpd_t user_home_t : file { ioctl read getattr lock }; allow ftpd_t user_home_t : dir { ioctl read getattr lock search }; allow ftpd_t user_home_t : lnk_file { read create getattr setattr unlink link rename };
Selinux 下匿名FTP的使用
在客户端登录FTP服务器时会出发audit deamon产生日志:
[root@sgzhang audit]# audit2why < /var/log/audit/audit.log type=AVC msg=audit(1282568240.414:268): avc: denied { getattr } for pid=4061 comm="vsftpd" path="/pub/root.txt" dev=sda1 ino=3634111 scontext=root:system_r:ftpd_t:s0 tcontext=root:object_r:user_home_t:s0 tclass=file Was caused by: Missing or disabled TE allow rule. Allow rules may exist but be disabled by boolean settings; check boolean settings. You can see the necessary allow rules by running audit2allow with this audit message as input.
Selinux 下匿名FTP的使用
1, 在匿名访问目录下创建2个文件进行测试,一个是在该目录下手动创建,这样 该文件会自动继承/var/ftp/pub下的目录上下文的值,一个用mv命令从root目录下移 动过来,这样的文件会保留root目录下的安全上下文,如下 [root@sgzhang pub]# pwd /var/ftp/pub [root@sgzhang pub]# echo "just a test" > test.txt [root@sgzhang pub]# chmod 755 test.txt [root@sgzhang pub]# ls -Z -rwxr-xr-x root root root:object_r:public_content_t:s0 test.txt