Despre Linux

  • Facebook
  • Twitter
  • LinkedIn
  • Acasă
  • Linux
    • Comenzi Linux
    • Tutoriale
  • Kubernetes
  • RHCSA
    • Exerciții RHCSA
    • SELinux
    • Permisiuni
  • General
    • Open source
  • Contact

SELinux - atributele de securitate "user", "role" și "level"

16 septembrie 2018 By Bobses Lasă un comentariu

Așa cum am menționat într-un alt articol, politica targeted decide acordarea accesului unui obiect Linux la un alt obiect Linux în funcție de atributul de securitate "type", ceea ce înseamnă că celelate atribute de securitate SELinux nu contează prea mult. Totuși, trebuie să știm câte ceva și despre celelelalte atribute.

Atributul de securitate "user"

Am văzut că există peste 4000 de valori posibile pe care atributul de securitate "type" le poate lua:

$ seinfo -t | wc -l
4897

Există doar 8 valori posibile pe care atributul de securitate SELinux "user" le poate lua:

$ seinfo -u

Users: 8
   guest_u
   root
   staff_u
   sysadm_u
   system_u
   unconfined_u
   user_u
   xguest_u

Politica targeted trebuie să atribuie o valoare contextului de securitate "user" atunci când un nou utilizator este creat. Mai jos sunt regulile politicii targeted care determină ce valoare va la atributul de securitate "user":

# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *

De menționat că system_u este pentru userii de sistem care sunt creați în timpul instalării unui pachet rpm (service accounts). Aceste conturi vor declanșa funcționarea proceselor, care procese vor moșteni valorile atributului de securitate ale utilizaroului care le-a creat (pachetul httpd:

# ps -efZ | grep httpd system_u:system_r:httpd_t:s0 root 1042 1 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1074 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1075 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1076 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1077 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1078 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND

Moștenirea valorilor atributelor de securitate este comportamentul prestabilit, în condițiile în care politica targeted nu specifică altfel.

De reținut! Valoarea atributului de securitate "user" pentru un utilizator nou creat este "unconfined_u"; aceeași valoare o are și utilizatorul root.

Atributul de securitate "role"

Atributul de securitate "role" este folosit pentru utilizarea RBAC (Roles Based Access Control). Politica targeted funcționează prin stabilirea posibilității utilizatorilor de a accesa anumite roluri, și, mai departe, prin stabilirea a ce domenii pot accesa acele roluri.

Comanda de mai jos ne ajută să vedem valorile care pot fi luate de acest atribut:

# seinfo -r

Roles: 14
   auditadm_r
   dbadm_r
   guest_r
   staff_r
   user_r
   logadm_r
   object_r
   secadm_r
   sysadm_r
   system_r
   webadm_r
   xguest_r
   nx_server_r
   unconfined_r

De notat că valoarea system_r este rezervată pentru procesele de sistem (a se vedea mai sus ieșirea comenzii ps -efZ | grep httpd). Valoarea system_u (a atributului "user") merge mână în mână cu valoarea system_r (a atributului "role").

Atributul de securitate "level"

Atributul "level" se mai numește și "sensitivity". Acest atribut ține exclusiv de politica MLS (Multi-Level Security). În principiu, politica MLS se bazează pe o pereche de niveluri, scrise de forma nivel jos - nivel înalt (s0 - s0) sau doar nivel jos (s0) dacă cele două sunt egale. Fiecare nivel este o pereche de tip sensitivity - category, categoria fiind opțională. Dacă, totuși, există categorii, atributul "level" este scris de forma sensitivity:category-set (s0-s0:c0.c1023); dacă nu există categorii, se scrie simplu doar sensibility (s0).

Acest subiect nu apare în cadrul niciunui examen Red Hat, dar cine dorește să afle mai mult poate citi aici .

Partajează asta:

  • Dă clic pentru a partaja pe Facebook(Se deschide într-o fereastră nouă)
  • Dă clic pentru a partaja pe LinkedIn(Se deschide într-o fereastră nouă)
  • Dă clic pentru a partaja pe Twitter(Se deschide într-o fereastră nouă)

Similare

Din categoria: SELinux Etichete: RHCSA, SELinux

Lasă un răspuns Anulează răspunsul

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Copyright © 2023 · Bobses

Administrează consimțămintele pentru cookie-uri
Pentru a oferi cea mai bună experiență, folosim tehnologii, cum ar fi cookie-uri, pentru a stoca și/sau accesa informațiile despre dispozitive. Consimțământul pentru aceste tehnologii ne permite să procesăm date, cum ar fi comportamentul de navigare sau ID-uri unice pe acest site. Dacă nu îți dai consimțământul sau îți retragi consimțământul dat poate avea afecte negative asupra unor anumite funcționalități și funcții.
Funcționale Mereu activ
Stocarea tehnică sau accesul sunt strict necesare în scopul legitim de a permite utilizarea unui anumit serviciu cerut în mod explicit de către un abonat sau un utilizator sau în scopul exclusiv de a executa transmiterea unei comunicări printr-o rețea de comunicații electronice.
Preferințe
Stocarea tehnică sau accesul este necesară în scop legitim pentru stocarea preferințelor care nu sunt cerute de abonat sau utilizator.
Statistici
Stocarea tehnică sau accesul care sunt utilizate exclusiv în scopuri statistice. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
Stocarea tehnică sau accesul sunt necesare pentru a crea profiluri de utilizator pentru a trimite publicitate sau pentru a urmări utilizatorul pe un site web sau pe mai multe site-uri web în scopuri de marketing similare.
Administrează opțiunile Administrează serviciile Administrează vânzătorii Citește mai multe despre aceste scopuri
Vizualizează preferințele
{title} {title} {title}