SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Introduction and example from the redhat docs
SELinux एक लेबलिंग सिस्टम है। हर प्रक्रिया और हर फाइल सिस्टम ऑब्जेक्ट का एक लेबल होता है। SELinux नीतियाँ यह निर्धारित करती हैं कि एक प्रक्रिया लेबल को सिस्टम पर अन्य सभी लेबलों के साथ क्या करने की अनुमति है।
कंटेनर इंजन कंटेनर प्रक्रियाओं को एकल सीमित SELinux लेबल के साथ लॉन्च करते हैं, आमतौर पर container_t
, और फिर कंटेनर के अंदर कंटेनर को container_file_t
लेबल करने के लिए सेट करते हैं। SELinux नीति नियम मूल रूप से कहते हैं कि container_t
प्रक्रियाएँ केवल container_file_t
लेबल वाली फाइलों को पढ़/लिख/निष्पादित कर सकती हैं। यदि एक कंटेनर प्रक्रिया कंटेनर से बाहर निकलती है और होस्ट पर सामग्री को लिखने का प्रयास करती है, तो लिनक्स कर्नेल एक्सेस को अस्वीकार कर देता है और केवल कंटेनर प्रक्रिया को container_file_t
लेबल वाली सामग्री को लिखने की अनुमति देता है।
SELinux उपयोगकर्ता नियमित Linux उपयोगकर्ताओं के अतिरिक्त होते हैं। SELinux उपयोगकर्ता एक SELinux नीति का हिस्सा होते हैं। प्रत्येक Linux उपयोगकर्ता को नीति के हिस्से के रूप में एक SELinux उपयोगकर्ता से मैप किया जाता है। यह Linux उपयोगकर्ताओं को SELinux उपयोगकर्ताओं पर लगाए गए प्रतिबंधों और सुरक्षा नियमों और तंत्रों को विरासत में लेने की अनुमति देता है।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)