SELinux σε Εμπορεύματα

Εισαγωγή και παράδειγμα από τα redhat docs

Το SELinux είναι ένα σύστημα επισήμανσης. Κάθε διεργασία και κάθε αντικείμενο συστήματος αρχείου έχει μια ετικέτα. Οι πολιτικές του SELinux καθορίζουν κανόνες για το τι μπορεί να κάνει μια ετικέτα διεργασίας με όλες τις άλλες ετικέτες στο σύστημα.

Οι μηχανές εμπορευμάτων εκκινούν διεργασίες εμπορευμάτων με μια μόνο περιορισμένη ετικέτα SELinux, συνήθως container_t, και στη συνέχεια ορίζουν το εμπόρευμα μέσα στο εμπόρευμα να έχει ετικέτα container_file_t. Οι κανόνες της πολιτικής SELinux ουσιαστικά λένε ότι οι διεργασίες container_t μπορούν μόνο να διαβάζουν/γράφουν/εκτελούν αρχεία με ετικέτα container_file_t. Εάν μια διεργασία εμπορεύματος δραπετεύσει από το εμπόρευμα και προσπαθήσει να γράψει σε περιεχόμενο στον κεντρικό υπολογιστή, το πυρήνας του Linux απορρίπτει την πρόσβαση και επιτρέπει μόνο στη διεργασία εμπορεύματος να γράψει σε περιεχόμενο με ετικέτα container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

Χρήστες SELinux

Υπάρχουν χρήστες SELinux εκτός από τους κανονικούς χρήστες του Linux. Οι χρήστες SELinux ανήκουν σε μια πολιτική SELinux. Κάθε χρήστης Linux αντιστοιχίζεται σε έναν χρήστη SELinux ως μέρος της πολιτικής. Αυτό επιτρέπει στους χρήστες Linux να κληρονομούν τους περιορισμούς και τους κανόνες ασφαλείας που έχουν τεθεί στους χρήστες SELinux.