Chỉ truy cập SELinux vào các tệp đã mở


1

Tôi đang học SELinux.

Sử dụng SELinux, nhị phân có thể được phép truy cập các tệp được mở bởi quy trình mẹ của nó và không có tệp nào khác không?

Nếu nó không thể, thì chúng ta nên tăng cường nó.

Câu trả lời:


2

Vâng, điều này có thể được thực hiện.

SELinux là một hệ thống ghi nhãn và quyền truy cập để thực hiện các hoạt động khác nhau trên các tệp (nhưng cả người dùng, quy trình, ...) được cấp dựa trên bối cảnh bảo mật của quy trình khởi tạo.

Chính sách tham chiếu được định nghĩa là bối cảnh bảo mật của một quy trình:

# ps -defZ | grep httpd
system_u:system_r:httpd_t:s0    root      1085     1  0 21:22 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND

Trong ví dụ này, bối cảnh bảo mật có các yếu tố sau:

  • system_u: người dùng SELinux
  • system_r: vai trò của Selinux
  • httpd_t: thuộc tính thực thi kiểu SELinux.
  • s0: phạm vi MLS / MCS, có liên quan trong các chính sách khác với chính sách được nhắm mục tiêu mặc định.

Và cũng xác định những gì bối cảnh bảo mật mà một quá trình có thể có quyền truy cập vào:

# ll -dZ /srv/www/html/
drwxr-s---. root apache system_u:object_r:httpd_sys_content_t:s0 /srv/www/html/

# sesearch -s httpd_t -t httpd_sys_content_t -c file -p read -Ad
Found 1 semantic av rules:
   allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open } ;

Trong ví dụ trên, đưa ra bối cảnh bảo mật của thư mục /srv/www/html, bạn có thể tìm thấy bằng cách sử dụng sesearch(1) nếu nó được xác định trong chính sách quy trình được dán nhãn httpd_t có thể có quyền truy cập đọc vào một thư mục có nhãn httpd_sys_content_t.

Kiểm tra trang của sesearch để có thêm lựa chọn.

Vì vậy, để một quy trình rẽ nhánh bị hạn chế truy cập vào các tệp được mở bởi cha mẹ của nó, bạn nên đảm bảo rằng có chính sách cho phép hoạt động đó.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.