SELinux
SELinux in Houers
Introduksie en voorbeeld van die redhat-dokumentasie
SELinux is 'n etiketteringstelsel. Elke proses en elke lêersisteemobjek het 'n etiket. SELinux-beleide definieer reëls oor wat 'n prosesetiket mag doen met al die ander etikette op die stelsel.
Houer-enjins begin houerprosesse met 'n enkele beperkte SELinux-etiket, gewoonlik container_t
, en stel dan die houer binne die houer in om geëtiketteer te word as container_file_t
. Die SELinux-beleidreëls sê basies dat die container_t
-prosesse slegs lêes/skryf/voer lêers uit wat geëtiketteer is as container_file_t
. As 'n houerproses ontsnap uit die houer en probeer skryf na inhoud op die gasheer, weier die Linux-kernel toegang en laat slegs die houerproses toe om te skryf na inhoud wat geëtiketteer is as container_file_t
.
SELinux Gebruikers
Daar is SELinux-gebruikers bo en behalwe die gewone Linux-gebruikers. SELinux-gebruikers maak deel uit van 'n SELinux-beleid. Elke Linux-gebruiker word gekarteer na 'n SELinux-gebruiker as deel van die beleid. Dit stel Linux-gebruikers in staat om die beperkings en sekuriteitsreëls en -meganismes wat op SELinux-gebruikers geplaas is, te erf.
Last updated