SELinux

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

SELinux in Houers

Introduksie en voorbeeld van die redhat-dokumentasie

SELinux is 'n etiketteringstelsel. Elke proses en elke lêersisteemobjek het 'n etiket. SELinux-beleide definieer reëls oor wat 'n prosesetiket mag doen met al die ander etikette op die stelsel.

Houer-enjins begin houerprosesse met 'n enkele beperkte SELinux-etiket, gewoonlik container_t, en stel dan die houer binne die houer in om geëtiketteer te word as container_file_t. Die SELinux-beleidreëls sê basies dat die container_t-prosesse slegs lêes/skryf/voer lêers uit wat geëtiketteer is as container_file_t. As 'n houerproses ontsnap uit die houer en probeer skryf na inhoud op die gasheer, weier die Linux-kernel toegang en laat slegs die houerproses toe om te skryf na inhoud wat geëtiketteer is as container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

SELinux Gebruikers

Daar is SELinux-gebruikers bo en behalwe die gewone Linux-gebruikers. SELinux-gebruikers maak deel uit van 'n SELinux-beleid. Elke Linux-gebruiker word gekarteer na 'n SELinux-gebruiker as deel van die beleid. Dit stel Linux-gebruikers in staat om die beperkings en sekuriteitsreëls en -meganismes wat op SELinux-gebruikers geplaas is, te erf.

PreviousRunC Privilege Escalation NextSocket Command Injection

Last updated 2 months ago