SELinuxルールは、標準のLinux許可の前後に実施されますか?

22

SELinuxがシステムにインストールされている場合、標準のLinux許可の前後にルールが適用されますか?たとえば、非ルートLinuxユーザーがLinuxパーミッションでファイルに書き込もうとすると、-rw------- root rootSELinuxルールが最初にチェックされますか、それとも標準ファイルシステムパーミッションが適用され、SELinuxは呼び出されませんか?

files  permissions  selinux  access-control 
satur9nine
ソース
2
SELinuxはサンプルリストで無効になっています。
マイケルハンプトン
@MichaelHamptonそうは思わない?ただし、このls例で使用したコマンドにはが含まれていません-Zが、出力例ではSElinuxがオンかオフかを確認するのに十分な情報が得られません。+ビットマスクの欠落について言及している場合、これはSElinuxではなくファイルシステムACLです。
-jornane
2
@jornane .リストにないものを参照しています。SELinuxが使用しているかどうかにかかわら-Zず、SELinuxが強制的または許容的である場合に表示されます。
マイケルハンプトン
ああ、非RHEL Linuxマシンでチェックしました。あなたは正しい、.そこに表示されません。今日、私は学びました。:)
jornane

回答:

30

今検索する用語はMACとDACであると思います。DACは標準の許可システムです。MACは、SELinuxが使用するシステムです。

1つのソースを引用する答えは次のとおりです。

SELinuxポリシールールはDACルールの後にチェックされることに注意してください。DACルールが最初にアクセスを拒否する場合、SELinuxポリシールールは使用されません。

この図は以下を示しています。

selinux systemcall統合図

参照:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.