Các quy tắc SELinux có được thi hành trước hoặc sau các quyền linux chuẩn không?

Khi SELinux được cài đặt trên một hệ thống, các quy tắc của nó có được thực thi trước hoặc sau các quyền linux chuẩn không? Ví dụ: nếu người dùng linux không root cố gắng ghi vào tệp có quyền linux -rw------- root rootthì quy tắc SELinux sẽ được kiểm tra trước hay sẽ áp dụng quyền hệ thống tệp chuẩn và SELinux không bao giờ được gọi?

— satur9nine
nguồn

SELinux bị vô hiệu hóa trong danh sách ví dụ của bạn.

— Michael Hampton

@MichaelHampton Tôi không nghĩ vậy sao? Tuy nhiên, lslệnh được sử dụng cho ví dụ không bao gồm -Z, nhưng đầu ra ví dụ không cung cấp cho tôi đủ thông tin để xem SElinux bật hay tắt. Nếu bạn đang đề cập đến sự thiếu sót +trong bitmask, đây không phải là SElinux mà là ACL hệ thống tập tin.

— jornane

@jornane Tôi đang đề cập đến sự mất tích .trong danh sách. Nó xuất hiện nếu SELinux có hiệu lực hoặc cho phép, cho dù bạn có sử dụng -Zhay không.

— Michael Hampton

À, tôi đã kiểm tra trên một máy Linux không phải là RHEL. Bạn nói đúng, .không xuất hiện ở đó. Ngày hôm nay tôi đã học. :)

— jornane

Tôi thấy các thuật ngữ để tìm kiếm bây giờ là MAC và DAC. DAC là hệ thống cấp phép tiêu chuẩn. MAC là hệ thống được sử dụng bởi SELinux.

Câu trả lời để trích dẫn một nguồn là:

Điều quan trọng cần nhớ là các quy tắc chính sách của SELinux được kiểm tra sau các quy tắc DAC. Các quy tắc chính sách của Selinux không được sử dụng nếu quy tắc DAC từ chối truy cập trước tiên.

Sơ đồ này cho thấy:

Tài liệu tham khảo:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https: //access.redhat.com/documentation/en-US/Red_Hat_ Entryprise_Linux / 6 / html

— satur9nine
nguồn