SELinux

Jifunze kuhusu kudukua AWS kutoka mwanzo hadi kuwa bingwa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
Pata swag rasmi ya PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.

SELinux katika Kontena

Utangulizi na mfano kutoka kwenye nyaraka za redhat

SELinux ni mfumo wa lebo. Kila mchakato na kila faili kwenye mfumo una lebo. Sera za SELinux hutoa sheria juu ya kile lebo ya mchakato inaruhusiwa kufanya na lebo zingine zote kwenye mfumo.

Injini za kontena huzindua mchakato wa kontena na lebo moja iliyozuiwa ya SELinux, kawaida container_t, na kisha kuweka kontena ndani ya kontena kuwa na lebo container_file_t. Sheria za sera za SELinux kimsingi zinasema kuwa mchakato wa container_t unaweza tu kusoma/kuandika/kutekeleza faili zenye lebo container_file_t. Ikiwa mchakato wa kontena unafanikiwa kutoroka kutoka kwenye kontena na kujaribu kuandika kwenye yaliyomo kwenye mwenyeji, kernel ya Linux inakataa ufikiaji na inaruhusu mchakato wa kontena kuandika tu kwenye yaliyomo yenye lebo container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

Watumiaji wa SELinux

Kuna watumiaji wa SELinux mbali na watumiaji wa kawaida wa Linux. Watumiaji wa SELinux ni sehemu ya sera ya SELinux. Kila mtumiaji wa Linux ameunganishwa na mtumiaji wa SELinux kama sehemu ya sera. Hii inaruhusu watumiaji wa Linux kuurithi vizuizi na sheria za usalama zilizowekwa kwa watumiaji wa SELinux.

PreviousRunC Privilege Escalation NextSocket Command Injection

Last updated 2 months ago