Какой эффект делают пользователь и ролевые маркировки имеют на файле в SELinux?
У нас есть некоторое программное обеспечение, которое может зарегистрировать IIS, Windows Server, Экземпляры SQL, Exchange.
Существует Бесплатная версия, которая может покрыть некоторые Ваши требования.
http://centrel-solutions.com/xiaconfiguration
Спасибо,
Dave
TL; DR : Да, они могут иметь эффект, но на вашу систему, вероятно, нет.
Сначала немного предыстории:
Большинство дистрибутивов Linux, поставляющих SELinux, используют политику, основанную на так называемой справочной политике , которая содержит функциональную политику, которая может использоваться в качестве основы для настройки для конкретного сайта. , или используется как есть.
Атрибуты, на которые вы смотрите: пользователь SELinux, роль и тип (или домен) для файла или процесса. В SELinux входящие в систему пользователи сопоставляются с пользователями SELinux, а затем пользователям SELinux назначаются роли, которые им разрешено выполнять. У каждой роли есть набор доменов, в которые она может перейти. Таким образом можно переключить пользователя s роль (пользователи могут переключать свою роль с помощью команды newrole , если им разрешено менять роли), чтобы предоставить или запретить доступ к совершенно другому набору доменов.
В случае файлов, доступ к файлу осуществляется на основе пользователя и роли процесса, соответствующего пользователю и роли, которой присвоен файл. Однако в случае неограниченных пользователей (и, когда вы хотите, в ваших собственных настраиваемых политиках) они могут игнорироваться и игнорироваться только используемый тип или тип.
Если вы используете значение по умолчанию ] target , пользователь и роль почти полностью не используются, так как эта политика действительно очень мало влияет на управление доступом на основе пользователей или ролей, вместо этого фокусируясь на ограничении внешних сервисов. Эта политика имеет некоторую поддержку для ограничения пользователей, но по умолчанию она отключена, и все интерактивные входы пользователей в систему не ограничены.
В соответствии с политиками strict или mls , контроль доступа на основе пользователей и ролей гораздо более широко используется ]. Пользователи всегда ограничены этими политиками, и даже то, что может делать пользователь root , ограничивается помещением пользователя root в роль sysadm_r . Обратите внимание, что политика mls вызывает сбой X, поэтому вы обычно не увидите этого на рабочих станциях.
Большинство систем SELinux, с которыми вы, вероятно, столкнетесь, будут использовать только целевые политика; необычно найти в использовании strict или mls , хотя вы увидите это в местах, где требуется безопасность на основе пользователей и ролей (например, подрядчики по обороне). В таких случаях вы Я также, вероятно, увидим, что они настроили используемых пользователей и роли.
Можно написать полную политику SELinux с нуля, но так как это много работы и содержит свой собственный набор кошмаров (например, документации или ее отсутствия) вы увидите нечасто. Хотя, если вы хотите увидеть демонстрацию управления доступом на основе ролей, этот пример от IBM политики , написанной с нуля , хорошо подойдет.
(Полный ответ был бы даже более теоретическим, поэтому я ' Я просто оставлю вас с этим. В повседневной жизни вы можете помочь Руководство пользователя SELinux , а для действительно сложных вопросов о SELinux вам также поможет список рассылки .)
но так как это много работы и таит в себе собственный набор кошмаров (например, документация или ее отсутствие), вы не будете видеть это очень часто. Хотя, если вы хотите увидеть демонстрацию управления доступом на основе ролей, этот пример от IBM политики , написанной с нуля , хорошо подходит.(Полный ответ был бы даже более теоретическим, поэтому я ' Я просто оставлю вас с этим. В повседневной жизни вы можете помочь Руководство пользователя SELinux , а для действительно сложных вопросов о SELinux вам также поможет список рассылки .)
но поскольку это много работы и таит в себе свой собственный набор кошмаров (например, документация или ее отсутствие), вы не будете видеть это очень часто. Хотя, если вы хотите увидеть демонстрацию управления доступом на основе ролей, этот пример от IBM политики , написанной с нуля , хорошо подходит.(Полный ответ был бы даже более теоретическим, поэтому я ' Я просто оставлю вас с этим. В повседневной жизни вы можете помочь Руководство пользователя SELinux , а для действительно сложных вопросов о SELinux вам также поможет список рассылки .)