Câu trả lời:
Vâng, điều này có thể được thực hiện.
SELinux là một hệ thống ghi nhãn và quyền truy cập để thực hiện các hoạt động khác nhau trên các tệp (nhưng cả người dùng, quy trình, ...) được cấp dựa trên bối cảnh bảo mật của quy trình khởi tạo.
Chính sách tham chiếu được định nghĩa là bối cảnh bảo mật của một quy trình:
# ps -defZ | grep httpd
system_u:system_r:httpd_t:s0 root 1085 1 0 21:22 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
Trong ví dụ này, bối cảnh bảo mật có các yếu tố sau:
system_u: người dùng SELinux system_r: vai trò của Selinux httpd_t: thuộc tính thực thi kiểu SELinux. s0: phạm vi MLS / MCS, có liên quan trong các chính sách khác với chính sách được nhắm mục tiêu mặc định. Và cũng xác định những gì bối cảnh bảo mật mà một quá trình có thể có quyền truy cập vào:
# ll -dZ /srv/www/html/
drwxr-s---. root apache system_u:object_r:httpd_sys_content_t:s0 /srv/www/html/
# sesearch -s httpd_t -t httpd_sys_content_t -c file -p read -Ad
Found 1 semantic av rules:
allow httpd_t httpd_sys_content_t : file { ioctl read getattr lock open } ;
Trong ví dụ trên, đưa ra bối cảnh bảo mật của thư mục /srv/www/html, bạn có thể tìm thấy bằng cách sử dụng sesearch(1) nếu nó được xác định trong chính sách quy trình được dán nhãn httpd_t có thể có quyền truy cập đọc vào một thư mục có nhãn httpd_sys_content_t.
Kiểm tra trang của sesearch để có thêm lựa chọn.
Vì vậy, để một quy trình rẽ nhánh bị hạn chế truy cập vào các tệp được mở bởi cha mẹ của nó, bạn nên đảm bảo rằng có chính sách cho phép hoạt động đó.