接前一篇文章：SELinux零知識學習二十五、SELinux策略語言之類型強制（10）

二、SELinux策略語言之類型強制

3. 訪問向量規則

AV規則就是按照對客體類別的訪問許可指定具體含義的規則，SELinux策略語言目前支持四類AV規則：

• allow：表示允許主體對客體執行允許的操作。
• neverallow：表示不允許主體對客體執行指定的操作。
• auditallow：表示允許操作并記錄訪問決策信息。
• dontaudit：表示不記錄違反規則的決策信息，且違反規則不影響運行。

（4）永不允許（neverallow）規則

最后一個AV規則是neverallow規則，此規則用來指定永遠不會被允許（allow）規則執行的訪問。你可能會疑惑，為什么會有這個規則？因為默認情況下，所有的訪問都是被拒絕的，設計這個規則的主要目的是為了幫助編寫策略時，可以明確地指出不想要的訪問許可，因此可以預防意外發生。回想一下，在一個SELinux策略中可能包含成千上萬條規則，其中可能不小心加入了我們本不想授予的訪問權，此時，neverallow規則就可以幫助預防這種情況發生了。如：

ne