SELinux

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
Поділіться своїми хакінг-трюками, надсилайте PR до HackTricks і HackTricks Cloud репозиторіїв на GitHub.

SELinux у контейнерах

SELinux - це система маркування. Кожен процес та кожен **об'єкт файлової системи має мітку. Політики SELinux визначають правила щодо того, що процес з міткою дозволено робити з усіма іншими мітками на системі.

Двигуни контейнерів запускають процеси контейнерів з однією обмеженою міткою SELinux, зазвичай container_t, а потім встановлюють контейнер всередині контейнера з міткою container_file_t. Правила політики SELinux фактично стверджують, що процеси container_t можуть лише читати/писати/виконувати файли з міткою container_file_t. Якщо процес контейнера виходить за межі контейнера та намагається записати вміст на хості, ядро Linux відмовляє у доступі та дозволяє лише процесу контейнера записувати вміст з міткою container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

Користувачі SELinux

Існують користувачі SELinux, крім звичайних користувачів Linux. Користувачі SELinux є частиною політики SELinux. Кожен користувач Linux відображений на користувача SELinux як частина політики. Це дозволяє користувачам Linux успадковувати обмеження та правила безпеки, а також механізми, що застосовуються до користувачів SELinux.

PreviousRunC Privilege Escalation NextSocket Command Injection

Last updated 1 month ago