SELinux规则是在标准linux权限之前还是之后执行的?


22

在系统上安装SELinux时,是否在标准linux权限之前或之后执行其规则?例如,如果非root Linux用户尝试使用linux许可权写入文件,-rw------- root root将首先检查SELinux规则,还是将应用标准文件系统许可权而从不调用SELinux?


2
您的示例清单中已禁用SELinux。
迈克尔·汉普顿

@MichaelHampton我认为不是吗?但是,ls用于示例的命令不包括-Z,但是示例输出没有提供足够的信息来查看SElinux是打开还是关闭。如果您指的+是位掩码中的缺失,则不是SElinux,而是文件系统ACL。
jornane'2

2
@jornane我指的.是清单中的内容。无论是否使用SELinux,它都会显示是强制的还是许可的-Z
迈克尔·汉普顿

啊,我在非RHEL Linux机器上检查了。您说对了,.没有出现在这里。今天我学到了。:)
jornane'2

Answers:


30

我看到现在要搜索的术语是MAC和DAC。DAC是标准许可系统。MAC是SELinux使用的系统。

引用一个来源的答案是:

重要的是要记住,在DAC规则之后检查SELinux策略规则。如果DAC规则首先拒绝访问,则不使用SELinux策略规则。

该图显示:

selinux systemcall集成图

参考文献:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-zh-CN/selg-overview.html

https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.