Применяются ли правила SELinux до или после стандартных разрешений linux?

22

Когда SELinux установлен в системе, применяются ли его правила до или после стандартных разрешений linux? Например, если пользователь Linux без полномочий root пытается выполнить запись в файл с разрешением linux, -rw------- root rootбудут ли сначала проверяться правила SELinux или применяются стандартные разрешения файловой системы, а SELinux никогда не вызывался?

files permissions selinux access-control satur9nine
источник
2
SELinux отключен в вашем примере.
Майкл Хэмптон
@MichaelHampton Я так не думаю? Однако lsкоманда, использованная в примере, не включала -Z, но вывод примера не дает мне достаточно информации, чтобы увидеть, включен ли SElinux. Если вы имеете в виду отсутствие +в битовой маске, это не SElinux, а ACL файловой системы.
Йорн
2
@jornane Я имею в виду пропавших .в списке. Появляется ли SELinux принудительно или разрешительно, используете ли вы -Zили нет.
Майкл Хэмптон
Ах, я проверил на Linux-машине без RHEL. Ты прав, .там не появляется. Сегодня я узнал. :)
Jornane

Ответы:

30

Я вижу термины для поиска сейчас MAC и DAC. ЦАП - это стандартная система разрешений. MAC - это система, используемая SELinux.

Ответ, чтобы процитировать один источник:

Важно помнить, что правила политики SELinux проверяются после правил DAC. Правила политики SELinux не используются, если правила DAC сначала запрещают доступ.

Эта диаграмма показывает:

интеграционная схема системных вызовов selinux

Ссылки:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
источник