SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wprowadzenie i przykład z dokumentacji redhat
SELinux to system etykietowania. Każdy proces i każdy obiekt systemu plików ma swoją etykietę. Polityki SELinux definiują zasady dotyczące tego, co etykieta procesu może robić z innymi etykietami w systemie.
Silniki kontenerów uruchamiają procesy kontenerowe z jedną ograniczoną etykietą SELinux, zazwyczaj container_t, a następnie ustawiają etykietę container_file_t dla plików wewnątrz kontenera. Zasady polityki SELinux zasadniczo mówią, że procesy container_t mogą tylko odczytywać/zapisywać/wykonywać pliki oznaczone etykietą container_file_t. Jeśli proces kontenerowy wydostanie się z kontenera i spróbuje zapisać zawartość na hoście, jądro Linuxa odmawia dostępu i pozwala procesowi kontenerowemu tylko na zapis do zawartości oznaczonej etykietą container_file_t.
Istnieją użytkownicy SELinux oprócz zwykłych użytkowników Linuxa. Użytkownicy SELinux są częścią polityki SELinux. Każdy użytkownik Linuxa jest mapowany na użytkownika SELinux jako część polityki. Umożliwia to użytkownikom Linuxa dziedziczenie ograniczeń oraz zasad i mechanizmów bezpieczeństwa nałożonych na użytkowników SELinux.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
