În acest articol voi exemplifica cum pot ajunge unele fișiere să aibă un context SELinux greșit și ce s-ar putea face pentru a remedia sau chiar a evita astfel de probleme. Fișierele capătă un context SELinux eronat (își păstrează contextul din momentul creării) atunci când sunt mutate în loc să fie copiate în locul dorit. Așadar, SELinux - copiere versus mutare fișiere este tema acestui articol.
Să presupunem cazul clasic al unui website. Instalăm apache și activăm serviciul:
Politica targeted din SELinux este cu adevărat mare, sistemul de operare consumând timp și resurse pentru a căuta informații de fiecare dată când trebuie să ia o decizie. De aceea, este folosit un cache care stochează cele mai recente decizii … [Continue reading]
Așa cum am menționat într-un alt articol, politica targeted decide acordarea accesului unui obiect Linux la un alt obiect Linux în funcție de atributul de securitate "type", ceea ce înseamnă că celelate atribute de securitate SELinux nu contează prea … [Continue reading]
Comportamentul prestabilit al politicii targeted poate fi personalizat prin configurarea unor parametri care pot activa sau dezactiva anumite reguli ale acestei politici. Parametrii rerspectivi pot lua doar două valori - off sau on. Politica SELinux … [Continue reading]
În distribuțiile Linux există două sisteme de fișiere care permit crearea unui sistem de fișiere bazat pe o parte din memoria RAM și care poate fi montat și folosit ca un director normal, putând scrie sau citi ca de pe orice partiție obișnuită. Dar, … [Continue reading]
Știm deja că, atunci când creăm un fișier sau un director nou, SELinux îi atribuie automat anumite atribute de securitate. Comanda semanage fcontext -l ne oferă informații despre modul în care SELinux determină ce context de securitate este necesar … [Continue reading]
În articolul anterior am menționat că o politică SELinux este ca o carte uriașă care conține regulile politicii respective. SELinux conține 3 astfel de politici: targeted, minimum și mls (voi folosi termenii în engleză, pentru o mai bună recunoaștere … [Continue reading]
SELinux operează la nivel de kernel, ceea ce înseamnă că, dacă un obiect Linux (un proces, un user, etc.) încearcă să acceseze un alt obiect (de exemplu, un fișier de configurare), kernelul verifică politica SELinux atribuită obiectelor date pentru a … [Continue reading]
SELinux poate fi dezactivat complet, sau poate rula în modul pasiv (permissive) sau activ (enforcing). Așadar, înainte de a începe să folosim SELinux, trebuie să înțelegem aceste 3 moduri de lucru. SELinux dezactivat (disabled) În modul dezactivat … [Continue reading]