SELinux
SELinux σε Εμπορεύματα
Εισαγωγή και παράδειγμα από τα redhat docs
Το SELinux είναι ένα σύστημα επισήμανσης. Κάθε διεργασία και κάθε αντικείμενο συστήματος αρχείου έχει μια ετικέτα. Οι πολιτικές του SELinux καθορίζουν κανόνες για το τι μπορεί να κάνει μια ετικέτα διεργασίας με όλες τις άλλες ετικέτες στο σύστημα.
Οι μηχανές εμπορευμάτων εκκινούν διεργασίες εμπορευμάτων με μια μόνο περιορισμένη ετικέτα SELinux, συνήθως container_t
, και στη συνέχεια ορίζουν το εμπόρευμα μέσα στο εμπόρευμα να έχει ετικέτα container_file_t
. Οι κανόνες της πολιτικής SELinux ουσιαστικά λένε ότι οι διεργασίες container_t
μπορούν μόνο να διαβάζουν/γράφουν/εκτελούν αρχεία με ετικέτα container_file_t
. Εάν μια διεργασία εμπορεύματος δραπετεύσει από το εμπόρευμα και προσπαθήσει να γράψει σε περιεχόμενο στον κεντρικό υπολογιστή, το πυρήνας του Linux απορρίπτει την πρόσβαση και επιτρέπει μόνο στη διεργασία εμπορεύματος να γράψει σε περιεχόμενο με ετικέτα container_file_t
.
Χρήστες SELinux
Υπάρχουν χρήστες SELinux εκτός από τους κανονικούς χρήστες του Linux. Οι χρήστες SELinux ανήκουν σε μια πολιτική SELinux. Κάθε χρήστης Linux αντιστοιχίζεται σε έναν χρήστη SELinux ως μέρος της πολιτικής. Αυτό επιτρέπει στους χρήστες Linux να κληρονομούν τους περιορισμούς και τους κανόνες ασφαλείας που έχουν τεθεί στους χρήστες SELinux.
Last updated