SELinux kuralları standart linux izinlerinden önce mi sonra mı uygulanıyor?


22

SELinux bir sisteme kurulduğunda, kuralları standart linux izinlerinden önce mi sonra mı uygulanır? Örneğin, root dışı bir linux kullanıcısı linux iznine sahip bir dosyaya yazmaya çalışırsa, -rw------- root rootönce SELinux kuralları kontrol edilir mi yoksa standart dosya sistemi izinleri uygulanır ve SELinux hiç çağrılmaz mı?


2
Örnek girişinizde SELinux devre dışı bırakıldı.
Michael Hampton

@ MichaelHampton Ben öyle düşünmüyorum? Bununla birlikte, lsörnek için kullanılan komut içermez -Z, ancak örnek çıktı SElinux'un açık veya kapalı olduğunu görmem için bana yeterli bilgi vermez. +Bit maskesindeki eksiklikten bahsediyorsanız , bu SElinux değil, dosya sistemi ACL'leridir.
jornane

2
@jornane Listedeki eksiklerden bahsediyorum .. SELinux kullanıyor olsanız da kullanmasanız -Zda zorlar ya da izin veriyorsa görünür .
Michael Hampton

Ah, RHEL olmayan bir Linux makinesini kontrol ettim. Haklısın, .orada görünmüyor. Bugün öğrendim. :)
jornane

Yanıtlar:


30

Şimdi aranacak terimlerin MAC ve DAC olduğunu görüyorum. DAC standart izin sistemidir. MAC, SELinux tarafından kullanılan sistemdir.

Bir kaynaktan alıntı yapmanın cevabı:

SELinux politika kurallarının DAC kurallarından sonra kontrol edildiğini hatırlamak önemlidir. DAC kuralları ilk önce erişimi reddederse, SELinux ilkesi kuralları kullanılmaz.

Bu şema şunları göstermektedir:

selinux systemcall entegrasyon şeması

Referanslar:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.