SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wprowadzenie i przykład z dokumentacji redhat
SELinux to system etykietowania. Każdy proces i każdy obiekt systemu plików ma swoją etykietę. Polityki SELinux definiują zasady dotyczące tego, co etykieta procesu może robić z innymi etykietami w systemie.
Silniki kontenerów uruchamiają procesy kontenerowe z jedną ograniczoną etykietą SELinux, zazwyczaj container_t
, a następnie ustawiają etykietę container_file_t
dla plików wewnątrz kontenera. Zasady polityki SELinux zasadniczo mówią, że procesy container_t
mogą tylko odczytywać/zapisywać/wykonywać pliki oznaczone etykietą container_file_t
. Jeśli proces kontenera wydostanie się z kontenera i spróbuje zapisać dane na hoście, jądro Linuxa odmawia dostępu i pozwala procesowi kontenera tylko na zapis do treści oznaczonej etykietą container_file_t
.
Istnieją użytkownicy SELinux oprócz zwykłych użytkowników Linuxa. Użytkownicy SELinux są częścią polityki SELinux. Każdy użytkownik Linuxa jest mapowany na użytkownika SELinux jako część polityki. Umożliwia to użytkownikom Linuxa dziedziczenie ograniczeń oraz zasad i mechanizmów bezpieczeństwa nałożonych na użytkowników SELinux.