Așa cum am menționat într-un alt articol, politica targeted decide acordarea accesului unui obiect Linux la un alt obiect Linux în funcție de atributul de securitate "type", ceea ce înseamnă că celelate atribute de securitate SELinux nu contează prea mult. Totuși, trebuie să știm câte ceva și despre celelelalte atribute.
Atributul de securitate "user"
Am văzut că există peste 4000 de valori posibile pe care atributul de securitate "type" le poate lua:
$ seinfo -t | wc -l 4897
Există doar 8 valori posibile pe care atributul de securitate SELinux "user" le poate lua:
$ seinfo -u Users: 8 guest_u root staff_u sysadm_u system_u unconfined_u user_u xguest_u
Politica targeted trebuie să atribuie o valoare contextului de securitate "user" atunci când un nou utilizator este creat. Mai jos sunt regulile politicii targeted care determină ce valoare va la atributul de securitate "user":
# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 * system_u system_u s0-s0:c0.c1023 *
De menționat că system_u este pentru userii de sistem care sunt creați în timpul instalării unui pachet rpm (service accounts). Aceste conturi vor declanșa funcționarea proceselor, care procese vor moșteni valorile atributului de securitate ale utilizaroului care le-a creat (pachetul httpd:
# ps -efZ | grep httpd system_u:system_r:httpd_t:s0 root 1042 1 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1074 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1075 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1076 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1077 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND system_u:system_r:httpd_t:s0 apache 1078 1042 0 12:50 ? 00:00:00 /usr/sbin/httpd -DFOREGROUNDMoștenirea valorilor atributelor de securitate este comportamentul prestabilit, în condițiile în care politica targeted nu specifică altfel.
De reținut! Valoarea atributului de securitate "user" pentru un utilizator nou creat este "unconfined_u"; aceeași valoare o are și utilizatorul root.
Atributul de securitate "role"
Atributul de securitate "role" este folosit pentru utilizarea RBAC (Roles Based Access Control). Politica targeted funcționează prin stabilirea posibilității utilizatorilor de a accesa anumite roluri, și, mai departe, prin stabilirea a ce domenii pot accesa acele roluri.
Comanda de mai jos ne ajută să vedem valorile care pot fi luate de acest atribut:
# seinfo -r Roles: 14 auditadm_r dbadm_r guest_r staff_r user_r logadm_r object_r secadm_r sysadm_r system_r webadm_r xguest_r nx_server_r unconfined_r
De notat că valoarea system_r este rezervată pentru procesele de sistem (a se vedea mai sus ieșirea comenzii ps -efZ | grep httpd). Valoarea system_u (a atributului "user") merge mână în mână cu valoarea system_r (a atributului "role").
Atributul de securitate "level"
Atributul "level" se mai numește și "sensitivity". Acest atribut ține exclusiv de politica MLS (Multi-Level Security). În principiu, politica MLS se bazează pe o pereche de niveluri, scrise de forma nivel jos - nivel înalt (s0 - s0) sau doar nivel jos (s0) dacă cele două sunt egale. Fiecare nivel este o pereche de tip sensitivity - category, categoria fiind opțională. Dacă, totuși, există categorii, atributul "level" este scris de forma sensitivity:category-set (s0-s0:c0.c1023); dacă nu există categorii, se scrie simplu doar sensibility (s0).
Acest subiect nu apare în cadrul niciunui examen Red Hat, dar cine dorește să afle mai mult poate citi aici .
Lasă un răspuns