SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Εισαγωγή και παράδειγμα από τα έγγραφα redhat
SELinux είναι ένα σύστημα ετικετών. Κάθε διαδικασία και κάθε αντικείμενο συστήματος αρχείων έχει μια ετικέτα. Οι πολιτικές SELinux καθορίζουν κανόνες σχετικά με το τι μπορεί να κάνει μια ετικέτα διαδικασίας με όλες τις άλλες ετικέτες στο σύστημα.
Οι μηχανές κοντέινερ εκκινούν διαδικασίες κοντέινερ με μια μόνο περιορισμένη ετικέτα SELinux, συνήθως container_t
, και στη συνέχεια ορίζουν το κοντέινερ μέσα στο κοντέινερ να έχει την ετικέτα container_file_t
. Οι κανόνες πολιτικής SELinux βασικά λένε ότι οι διαδικασίες container_t
μπορούν μόνο να διαβάζουν/γράφουν/εκτελούν αρχεία με ετικέτα container_file_t
. Εάν μια διαδικασία κοντέινερ διαφύγει από το κοντέινερ και προσπαθήσει να γράψει περιεχόμενο στον οικοδεσπότη, ο πυρήνας του Linux αρνείται την πρόσβαση και επιτρέπει μόνο στη διαδικασία κοντέινερ να γράψει σε περιεχόμενο με ετικέτα container_file_t
.
Υπάρχουν χρήστες SELinux εκτός από τους κανονικούς χρήστες Linux. Οι χρήστες SELinux είναι μέρος μιας πολιτικής SELinux. Κάθε χρήστης Linux αντιστοιχίζεται σε έναν χρήστη SELinux ως μέρος της πολιτικής. Αυτό επιτρέπει στους χρήστες Linux να κληρονομούν τους περιορισμούς και τους κανόνες και μηχανισμούς ασφαλείας που έχουν επιβληθεί στους χρήστες SELinux.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)