SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SELinuxはラベリング システムです。すべてのプロセスとすべてのファイルシステムオブジェクトにはラベルがあります。SELinuxポリシーは、プロセスラベルがシステム上の他のすべてのラベルに対して何をすることが許可されているかに関するルールを定義します。
コンテナエンジンは、通常container_t
という単一の制限されたSELinuxラベルでコンテナプロセスを起動し、その後コンテナ内のコンテナをcontainer_file_t
というラベルに設定します。SELinuxポリシールールは基本的に、container_t
プロセスはcontainer_file_t
というラベルが付けられたファイルをのみ読み書き/実行できると言っています。コンテナプロセスがコンテナから脱出し、ホスト上のコンテンツに書き込もうとすると、Linuxカーネルはアクセスを拒否し、コンテナプロセスがcontainer_file_t
というラベルが付けられたコンテンツにのみ書き込むことを許可します。
通常の Linux ユーザーに加えて、SELinux ユーザーも存在します。SELinux ユーザーは SELinux ポリシーの一部です。各 Linux ユーザーはポリシーの一部として SELinux ユーザーにマッピングされます。これにより、Linux ユーザーは SELinux ユーザーに課せられた制限やセキュリティルール、メカニズムを継承することができます。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)