Werden SELinux-Regeln vor oder nach Standard-Linux-Berechtigungen durchgesetzt?

22

Wenn SELinux auf einem System installiert ist, werden dessen Regeln vor oder nach den Standard-Linux-Berechtigungen durchgesetzt? Wenn beispielsweise ein Nicht-Root-Linux-Benutzer versucht, mit Linux-Berechtigung in eine Datei zu schreiben, -rw------- root rootwerden die SELinux-Regeln zuerst überprüft, oder gelten die Standard-Dateisystemberechtigungen, und SELinux wird nie aufgerufen.

satur9nine
quelle
2
SELinux ist in Ihrer Beispielauflistung deaktiviert.
Michael Hampton
@MichaelHampton Ich glaube nicht? Der lsfür das Beispiel verwendete Befehl enthielt -Zjedoch keine Informationen, aber die Beispielausgabe gibt mir nicht genügend Informationen, um festzustellen, ob SElinux aktiviert oder deaktiviert ist. Wenn Sie sich auf die fehlende +Bitmaske beziehen , handelt es sich nicht um SElinux, sondern um Dateisystem-ACLs.
Jornane
2
@Jornane Ich beziehe mich auf die fehlende .in der Auflistung. Es wird angezeigt, ob SELinux erzwingt oder zulässt, ob Sie es verwenden -Zoder nicht.
Michael Hampton
Ah, ich habe auf einem Nicht-RHEL-Linux-Rechner nachgesehen. Du hast recht, .erscheint dort nicht. Heute habe ich gelernt. :)
jornane

Antworten:

30

Ich sehe, dass die Begriffe, nach denen jetzt gesucht werden muss, MAC und DAC sind. DAC ist das Standard-Berechtigungssystem. MAC ist das von SELinux verwendete System.

Die Antwort, um eine Quelle zu zitieren, lautet:

Beachten Sie, dass SELinux-Richtlinienregeln nach DAC-Regeln überprüft werden. SELinux-Richtlinienregeln werden nicht verwendet, wenn DAC-Regeln zuerst den Zugriff verweigern.

Dieses Diagramm zeigt:

selinux systemcall integration diagram

Verweise:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
quelle