SELinux
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
कंटेनरों में SELinux
रेडहैट डॉक्यूमेंट्स से परिचय और उदाहरण
SELinux एक लेबलिंग सिस्टम है। हर प्रक्रिया और हर फाइल सिस्टम ऑब्जेक्ट का एक लेबल होता है। SELinux नीतियाँ यह निर्धारित करती हैं कि प्रक्रिया लेबल को सिस्टम पर अन्य सभी लेबल के साथ क्या करने की अनुमति है।
कंटेनर इंजन एकल सीमित SELinux लेबल के साथ कंटेनर प्रक्रियाएँ लॉन्च करते हैं, आमतौर पर container_t
, और फिर कंटेनर के अंदर कंटेनर को container_file_t
लेबल करने के लिए सेट करते हैं। SELinux नीति नियम मूल रूप से कहते हैं कि container_t
प्रक्रियाएँ केवल container_file_t
लेबल वाली फाइलों को पढ़/लिख/निष्पादित कर सकती हैं। यदि एक कंटेनर प्रक्रिया कंटेनर से बाहर निकलती है और होस्ट पर सामग्री को लिखने का प्रयास करती है, तो लिनक्स कर्नेल एक्सेस को अस्वीकार कर देता है और केवल कंटेनर प्रक्रिया को container_file_t
लेबल वाली सामग्री को लिखने की अनुमति देता है।
SELinux उपयोगकर्ता
SELinux उपयोगकर्ता नियमित Linux उपयोगकर्ताओं के अतिरिक्त होते हैं। SELinux उपयोगकर्ता एक SELinux नीति का हिस्सा होते हैं। प्रत्येक Linux उपयोगकर्ता को नीति के हिस्से के रूप में एक SELinux उपयोगकर्ता से मैप किया जाता है। यह Linux उपयोगकर्ताओं को SELinux उपयोगकर्ताओं पर लगाए गए प्रतिबंधों और सुरक्षा नियमों और तंत्रों को विरासत में लेने की अनुमति देता है।
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated