Các quy tắc SELinux có được thi hành trước hoặc sau các quyền linux chuẩn không?


22

Khi SELinux được cài đặt trên một hệ thống, các quy tắc của nó có được thực thi trước hoặc sau các quyền linux chuẩn không? Ví dụ: nếu người dùng linux không root cố gắng ghi vào tệp có quyền linux -rw------- root rootthì quy tắc SELinux sẽ được kiểm tra trước hay sẽ áp dụng quyền hệ thống tệp chuẩn và SELinux không bao giờ được gọi?


2
SELinux bị vô hiệu hóa trong danh sách ví dụ của bạn.
Michael Hampton

@MichaelHampton Tôi không nghĩ vậy sao? Tuy nhiên, lslệnh được sử dụng cho ví dụ không bao gồm -Z, nhưng đầu ra ví dụ không cung cấp cho tôi đủ thông tin để xem SElinux bật hay tắt. Nếu bạn đang đề cập đến sự thiếu sót +trong bitmask, đây không phải là SElinux mà là ACL hệ thống tập tin.
jornane

2
@jornane Tôi đang đề cập đến sự mất tích .trong danh sách. Nó xuất hiện nếu SELinux có hiệu lực hoặc cho phép, cho dù bạn có sử dụng -Zhay không.
Michael Hampton

À, tôi đã kiểm tra trên một máy Linux không phải là RHEL. Bạn nói đúng, .không xuất hiện ở đó. Ngày hôm nay tôi đã học. :)
jornane

Câu trả lời:


30

Tôi thấy các thuật ngữ để tìm kiếm bây giờ là MAC và DAC. DAC là hệ thống cấp phép tiêu chuẩn. MAC là hệ thống được sử dụng bởi SELinux.

Câu trả lời để trích dẫn một nguồn là:

Điều quan trọng cần nhớ là các quy tắc chính sách của SELinux được kiểm tra sau các quy tắc DAC. Các quy tắc chính sách của Selinux không được sử dụng nếu quy tắc DAC từ chối truy cập trước tiên.

Sơ đồ này cho thấy:

Sơ đồ tích hợp hệ thống selinux

Tài liệu tham khảo:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https: //access.redhat.com/documentation/en-US/Red_Hat_ Entryprise_Linux / 6 / html

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.