SELinux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Uvod i primer iz redhat dokumenata
SELinux je sistem označavanja. Svaki proces i svaki objekat u sistemu datoteka ima označavanje. SELinux politike definišu pravila o tome šta označavanje procesa može da radi sa svim ostalim oznakama u sistemu.
Kontejnerski alati pokreću kontejnerske procese sa jednim ograničenim SELinux oznakom, obično container_t
, a zatim postavljaju kontejner unutar kontejnera da bude označen kao container_file_t
. Pravila SELinux politike su u suštini takva da container_t
procesi mogu samo da čitaju/pisu/izvršavaju datoteke označene kao container_file_t
. Ako kontejnerski proces pobegne iz kontejnera i pokuša da piše u sadržaj na hostu, Linux kernel odbija pristup i dozvoljava kontejnerskom procesu da piše samo u sadržaj označen kao container_file_t
.
Postoje SELinux korisnici pored redovnih Linux korisnika. SELinux korisnici su deo SELinux politike. Svaki Linux korisnik je mapiran na SELinux korisnika kao deo politike. Ovo omogućava Linux korisnicima da naslede ograničenja i sigurnosna pravila i mehanizme postavljene na SELinux korisnike.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)