限制用户查看文件部分内容：SELinux 安全标签实战

可以通过 SELinux 的安全标签（security context）来限制用户只能读取部分文件内容。具体来说，可以使用 setfattr 命令为文件添加一个定制的安全标签，然后为该标签设置相应的 SELinux 策略，从而实现对用户可见内容的限制。例如，可以为文件添加一个名为 'restricted' 的安全标签：

# setfattr -n user.restricted -v 'true' /path/to/file

然后，可以使用 SELinux 策略语言（SELinux policy language）来限制用户只能访问标签为 'restricted' 的文件内容：

allow user_t restricted_file_t:file { read getattr };

其中，'user_t' 和 'restricted_file_t' 是两个 SELinux 安全上下文。这个策略允许 'user_t' 进程读取 'restricted_file_t' 类型的文件，但只能读取文件的元数据（如文件权限、大小等）和内容的一部分（根据策略中定义的规则限制）。

具体来说，可以使用 SELinux 策略语言中的 'allow' 命令来限制用户只能访问文件的部分内容。例如，下面的策略语言规则限制了用户只能读取文件的前 10 行内容：

allow user_t restricted_file_t:file { read getattr };
allow user_t restricted_file_t:file { read readahead } file_line(10);

其中，'file_line(10)' 表示只允许用户读取文件的前 10 行内容。这样，即使用户拥有读取文件的权限，也只能读取文件的部分内容，从而保护敏感信息的安全性。需要注意的是，具体的限制规则需要根据实际情况进行调整，以确保限制的有效性和合理性。

需要注意的是，该方法只能限制用户在使用 SELinux 的操作系统上访问文件时受到限制。如果用户可以使用其他手段（如复制文件、使用其他系统或操作系统）来绕过 SELinux 限制，则该限制可能会失效。因此，如果要确保敏感信息的安全性，建议还需采用其他更严密的安全措施。