Czy reguły SELinux są egzekwowane przed standardowymi uprawnieniami do Linuksa lub po nich?

22

Kiedy SELinux jest instalowany w systemie, czy jego reguły są egzekwowane przed czy po standardowych uprawnieniach dla Linuksa? Na przykład, jeśli użytkownik Linuksa inny niż root spróbuje zapisać do pliku z uprawnieniem linux, -rw------- root rootczy najpierw zostaną sprawdzone reguły SELinux, czy też będą obowiązywać standardowe uprawnienia systemu plików, a SELinux nigdy się nie wywoła?

satur9nine
źródło
2
SELinux jest wyłączony na przykładowej liście.
Michael Hampton
@MichaelHampton Nie sądzę? Jednak lspolecenie użyte w tym przykładzie nie zawierało -Z, ale przykładowe dane wyjściowe nie dają mi wystarczających informacji, aby sprawdzić, czy SElinux jest włączony czy wyłączony. Jeśli chodzi o brak +w masce bitów, to nie jest to SElinux, ale ACL systemu plików.
jornane
2
@jornane Mam na myśli brakujące .na liście. Pojawia się, jeśli SELinux wymusza lub zezwala, niezależnie od tego, czy go używasz, -Zczy nie.
Michael Hampton
Ach, sprawdziłem na komputerze z systemem Linux innym niż RHEL. Masz rację, .nie pojawia się tam. Dzisiaj się uczę. :)
jornane

Odpowiedzi:

30

Widzę, że wyszukiwane hasła to MAC i DAC. DAC to standardowy system uprawnień. MAC to system używany przez SELinux.

Odpowiedź na zacytowanie jednego źródła to:

Należy pamiętać, że reguły polityki SELinuksa są sprawdzane po regułach DAC. Reguły polityki SELinux nie są używane, jeśli reguły DAC najpierw odmawiają dostępu.

Ten schemat pokazuje:

Schemat integracji selinux systemcall

Referencje:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
źródło