揭阳企业免费建站,app开发需要用到哪些工具,无代码开发平台的利与弊,wordpress首页文章数接前一篇文章#xff1a;SELinux零知识学习十三、SELinux策略语言之客体类别和许可#xff08;7#xff09; 一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
#xff08;2#xff09;文件客体类别许可
文件客体类别有三类许可#xff1a;直接映像到标准Lin…接前一篇文章SELinux零知识学习十三、SELinux策略语言之客体类别和许可7 一、SELinux策略语言之客体类别和许可
4. 客体类别许可实例
2文件客体类别许可
文件客体类别有三类许可直接映像到标准Linux访问控制许可的许可、标准Linux许可的扩展和SELinux特定的许可。下表列出了与文件有关的客体类别许可即file客体类别许可
许可描述append附加到文件内容即用O_APPEND标记打开create创建一个新文件entrypoint*通过域转换可以用作新域的入口点的文件execmod*使被修改过的文件可执行含有写时复制的意思execute执行与标准Linux下的x访问权限一致execute_no_trans*在访问者域转换的执行文件即没有域转换getattr获取文件的属性如访问模式例如stat、部分ioctlsioctlioctl(2)系统调用请求link创建一个硬链接lock设置和清除文件锁mounton用作挂载点quotaon允许文件用作一个限额数据库read读取文件内容对应标准Linux下的r访问权relabelfrom从现有类型改变安全上下文relabelto改变新类型的安全上下文rename重命名一个硬链接setattr改变文件的属性如访问模式例如chmod、部分ioctlsswapon不赞成使用。其用于将文件当作换页/交换空间unlink移除硬链接删除write写入文件内容对应标准Linux下的w访问权
1标准Linux许可
read、write和execute
许可read、write和execute基本上与标准Linux许可的读r、写w和执行x类似丹玉标准许可检查有些不同在标准Linux中访问权通常是在文件打开时进行检查而在SELinux中访问权是每次使用时都会检查。
read许可包括了读取整个文件的能力它包括以一种随机方式访问文件的许可。write许可包括了写入及附加文件的许可。与read许可相似write许可包括了随机访问写。当一个文件被映像到内存中时也会检查read和write许可。例如mmap(2)系统调用或使用mprotect(2)系统调用保护现有映像被改变。
execute许可使用execve(2)系统调用控制执行文件的能力不管有没有域转换参考后文的exec_no_trans它都是必需的execute许可在成功使用一个文件作为共享库时也是必需的。
2标准Linux访问控制的扩展
SELinux的一个好处就是它提供了额外的许可可以更细粒度地进行控制。
create
在标准Linux中创建文件的能力受到写入容纳该文件的目录的权限限制在SELinux中create许可直接控制创建每个特定SELinux类型文件的能力。使用create许可可以允许一个域类型创建etc_t类型的文件而不是shadow_t类型。与SELinux中的大多数许可类似文件create许可是必需的但并不充分。例如创建域类型也必须要有权在dir客体中创建客体并且要有创建file客体的许可也可能需要write许可。
getattr和setattr
查看和修改文件属性包括许可模式和属主信息的能力分别由getattr和setattr许可控制。getattr许可控制文件属性的读取如使用stat(2)系统调用setattr许可控制文件属性的写入如使用chmod(2)系统调用。
lock
可以通过flock(2)或fcntl(2)系统调用锁定文件由lock许可进行控制获取一个锁不再需要其它许可。尽管实际上你需要有read、write或append许可获得文件描述符传递给有关的锁定系统调用。
append
通常只允许对文件进行附加append访问非常有用如日志文件不能被覆盖这样可以阻止攻击者清除证据。SELinux单独提供了append许可其在文件打开时强制实施了o_append模式允许域类型append许可而无write意味着那个域类型进程只能将数据追加到文件。
link和unlink
由于创建是单独用create许可进行控制的创建和移除硬链接是用link和unlink许可控制的。在Linux中文件是可以被引用为一个或多个名字的这就叫做硬链接。硬链接不是文件的“真实”名字一个文件的所有硬链接都只有一个等效的有效名Linux文件系统的这种语义包含了多种安全含义解除一个文件的硬链接本质上是删除一个文件注意不是删除真正的文件而是硬链接的名字而已。
rename
通用硬链接一个文件本质上是对该文件创建了一个新的名字而已可以使用系统调用rename(2)改变硬链接的名字这个系统调用是由rename许可进行控制的所以三种与硬链接有关的许可在有影响的目录上都需要额外的许可才能成功完成。
mounton、quotaon和swapon
最后的文件扩展许可是mounton、quotaon和swapon。mounton许可控制使用文件作为一个挂载点的能力mount(2)系统调用更常见的是使用目录作为一个挂载点。然而在执行绑定挂载MS_BIND时可以使用文件作为挂载点。quotaon许可控制存储限额信息当使用quotactl(2)系统调用q_quotaon开启限额时存储限额信息的文件路径就确定了调用进程域类型必须要有那个文件的quotaon许可才能成功完成系统调用。 3SELinux特定许可
对于文件而言有五种SELinux特定许可relabelfrom、relabelto、execute_no_trans、entrypoint和execmod。
relabelfrom和relabelto
relabelfrom和relabelto许可控制域类型将文件从一个类型改为另一个类型的能力。为了使重新标记文件成功域类型必须要有该文件客体当前类型的relabelfrom许可并且还要有新类型的relabelto许可。注意这些许可不允许控制确切的许可对域可以将它具有relabelfrom许可的任何类型改为它具有relabelto许可的类型。在重新标记时可以增加约束重新标记客体对于系统而言是一个潜在的安全危险应该严加控制。
execute_no_trans
execute_no_trans许可允许域执行一个无域转换的文件这个许可还不够执行一个文件还需要execcute许可。没有execute_no_trans许可进程可能只能在一个域内执行。如果我们想要确保一个执行过程总是会引发一个域转换或失败时此时就会想要排除execute_no_trans许可。例如当登录进程为一个用户登录执行一个shell时我们总是想要shell进程从有特权的登录域类型转移出来。
entrypoint
entrypoint许可控制使用可执行文件允许域转换的能力。
execute、execute_no_trans和entrypoint许可允许精确控制什么代码可以执行什么域类型。SELinux控制各个程序域类型的能力是它能够提供强壮灵活的安全的主要原因。
execmod
execmod许可控制执行在进程内存中已经修改了的内存映像文件的能力这在防止共享库被另一个进程修改时非常有用没有这个许可如果一个内存映像文件在内存中已经被修改了进程就不能再执行这个文件了。
