Les règles SELinux sont-elles appliquées avant ou après les autorisations Linux standard?

22

Lorsque SELinux est installé sur un système, ses règles sont-elles appliquées avant ou après les autorisations Linux standard? Par exemple, si un utilisateur linux non root essaie d'écrire dans un fichier avec l'autorisation linux -rw------- root root, les règles SELinux seront-elles vérifiées en premier ou les autorisations standard du système de fichiers s'appliqueront-elles et SELinux ne sera jamais invoqué?

satur9nine
la source
2
SELinux est désactivé dans votre liste d'exemples.
Michael Hampton
@MichaelHampton Je ne pense pas? Cependant, la lscommande utilisée pour l'exemple ne comprenait pas -Z, mais la sortie de l'exemple ne me donne pas suffisamment d'informations pour voir si SElinux est activé ou désactivé. Si vous faites référence aux éléments manquants +dans le masque de bits, il ne s'agit pas de SElinux mais des ACL du système de fichiers.
jornane
2
@jornane Je fais référence aux disparus .dans la liste. Il apparaît si SELinux est contraignant ou permissif, que vous l'utilisiez -Zou non.
Michael Hampton
Ah, j'ai vérifié sur une machine Linux non RHEL. Tu as raison, .n'y apparaît pas. Aujourd'hui j'ai appris. :)
jornane

Réponses:

30

Je vois que les termes à rechercher maintenant sont MAC et DAC. DAC est le système d'autorisation standard. MAC est le système utilisé par SELinux.

La réponse pour citer une source est:

Il est important de se rappeler que les règles de politique SELinux sont vérifiées après les règles DAC. Les règles de stratégie SELinux ne sont pas utilisées si les règles DAC refusent d'abord l'accès.

Ce diagramme montre:

diagramme d'intégration selinux systemcall

Les références:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
la source