āĻāĻŽāĻŦā§āĻĄā§āĻĄ, āĻŽā§āĻŦāĻžāĻāĻ˛ āĻĄāĻŋāĻāĻžāĻāĻ¸ āĻāĻŦāĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻāĻāĻ¸-āĻāĻ° āĻ
āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ¸āĻžāĻĢāĻ˛ā§āĻ¯ā§āĻ° āĻāĻāĻāĻŋ āĻāĻžāĻ°āĻŖ āĻšāĻ˛ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛, āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻāĻŦāĻ āĻ
ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻŽā§āĻāĻžāĻŽā§āĻāĻŋ āĻāĻā§āĻ āĻŽāĻžāĻ¤ā§āĻ°āĻžāĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻžāĨ¤ āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¯āĻĻāĻŋ
āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŽāĻĄāĻŋāĻāĻ˛ āĻāĻŦāĻ SELinux-āĻāĻ° āĻĒāĻāĻā§āĻŽāĻŋ
āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻ¨āĻšā§āĻ¯āĻžāĻ¨ā§āĻ¸āĻĄ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻšāĻ˛ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻā§āĻ˛āĻŋāĻā§ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻšā§āĻŽāĻāĻŋ āĻĨā§āĻā§ āĻ°āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ āĻāĻŦāĻ āĻā§āĻŽāĻŋāĻāĻž-āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻŽāĻĄā§āĻ˛ā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻāĻŦāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻāĻŦāĻ āĻĄāĻŋāĻ¸āĻā§āĻ°āĻŋāĻļāĻ¨āĻžāĻ°āĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ (DAC), āĻāĻ¤āĻŋāĻšā§āĻ¯āĻāĻ¤ āĻāĻāĻ¨āĻŋāĻā§āĻ¸ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻ° āĻ¤ā§āĻ°ā§āĻāĻŋāĻā§āĻ˛āĻŋ āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°ā§āĨ¤ āĻĒā§āĻ°āĻāĻ˛ā§āĻĒāĻāĻŋ āĻāĻāĻāĻ¸ āĻ¨ā§āĻ¯āĻžāĻļāĻ¨āĻžāĻ˛ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻā§āĻ¨ā§āĻ¸āĻŋāĻ° āĻ āĻ¨ā§āĻ¤ā§āĻ°ā§ āĻāĻĻā§āĻā§āĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻāĻŦāĻ āĻāĻāĻŋ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻŽā§āĻ˛āĻ¤ āĻ āĻŋāĻāĻžāĻĻāĻžāĻ° āĻ¸āĻŋāĻāĻŋāĻāĻ° āĻāĻŽā§āĻĒāĻŋāĻāĻāĻŋāĻ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻļāĻ¨ āĻāĻŦāĻ MITER, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻāĻŦā§āĻˇāĻŖāĻž āĻ˛ā§āĻ¯āĻžāĻŦāĻ°ā§āĻāĻ°āĻŋ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŽāĻĄāĻŋāĻāĻ˛
āĻ˛āĻŋāĻ¨āĻžāĻ¸ āĻāĻ°āĻāĻžāĻ˛ā§āĻĄāĻ¸ āĻ¨āĻ¤ā§āĻ¨ NSA āĻāĻ¨ā§āĻ¨āĻ¯āĻŧāĻ¨ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ
āĻ¨ā§āĻ āĻŽāĻ¨ā§āĻ¤āĻŦā§āĻ¯ āĻāĻ°ā§āĻā§āĻ¨ āĻ¯āĻžāĻ¤ā§ āĻ¸ā§āĻā§āĻ˛āĻŋāĻā§ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻ˛āĻžāĻāĻ¨ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ā§ āĻ
āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻ¤āĻŋāĻ¨āĻŋ āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻĒāĻ°āĻŋāĻŦā§āĻļ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°ā§āĻā§āĻ¨, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻ¸āĻžāĻĨā§ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ˛āĻžāĻĒ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¸ā§āĻĒā§āĻāĻ°āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻāĻŦāĻ āĻ¸āĻāĻļā§āĻ˛āĻŋāĻˇā§āĻ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻĄā§āĻāĻž āĻ¸ā§āĻā§āĻ°āĻžāĻāĻāĻžāĻ°ā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒā§āĻ°āĻ¤āĻŋāĻ°āĻā§āĻˇāĻžāĻŽā§āĻ˛āĻ āĻā§āĻˇā§āĻ¤ā§āĻ°āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻāĨ¤ āĻāĻ āĻĒāĻ°āĻŋāĻŦā§āĻļāĻāĻŋ āĻ˛ā§āĻĄāĻ¯ā§āĻā§āĻ¯ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻŽāĻĄāĻŋāĻāĻ˛ āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒāĻāĻ¨ā§āĻĻāĻ¸āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŽāĻĄā§āĻ˛ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ LSM āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖāĻ°ā§āĻĒā§ 2.6 āĻ¸āĻžāĻ˛ā§ Linux āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ v2003 āĻ āĻĒā§āĻ°āĻŦā§āĻļ āĻāĻ°ā§āĻā§āĨ¤
LSM āĻĢā§āĻ°ā§āĻŽāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĄāĻžāĻāĻž āĻ¸ā§āĻā§āĻ°āĻžāĻāĻāĻžāĻ°ā§āĻ° āĻāĻžāĻ°ā§āĻĄ āĻā§āĻˇā§āĻ¤ā§āĻ° āĻāĻŦāĻ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻā§āĻĄā§āĻ° āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻā§ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¸ā§āĻĒāĻļāĻ¨ āĻĢāĻžāĻāĻļāĻ¨āĻā§āĻ˛āĻŋāĻā§ āĻŽā§āĻ¯āĻžāĻ¨āĻŋāĻĒā§āĻ˛ā§āĻ āĻāĻ°āĻ¤ā§ āĻāĻŦāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻāĻ˛ āĻāĻ°ā§āĨ¤ āĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŽāĻĄāĻŋāĻāĻ˛ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻžāĻ°ā§āĻ¯āĻāĻžāĻ°āĻŋāĻ¤āĻž āĻ¯ā§āĻ āĻāĻ°ā§āĨ¤ /sys/kernel/security/lsm āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻŽāĻĄāĻŋāĻāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ LSM āĻšā§āĻāĻā§āĻ˛āĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ¯āĻŧ āĻ¸āĻāĻ°āĻā§āĻˇāĻŋāĻ¤ āĻĨāĻžāĻā§ āĻ¯ā§āĻā§āĻ˛āĻŋāĻā§ CONFIG_LSM-āĻ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻā§āĻ°āĻŽ āĻ āĻ¨ā§āĻ¸āĻžāĻ°ā§ āĻĄāĻžāĻāĻž āĻšāĻ¯āĻŧā§ˇ āĻšā§āĻ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤ āĻĄāĻā§āĻŽā§āĻ¨ā§āĻā§āĻļāĻ¨ āĻļāĻŋāĻ°ā§āĻ¨āĻžāĻŽ āĻĢāĻžāĻāĻ˛ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤/linux/lsm_hooks.h.
LSM āĻ¸āĻžāĻŦāĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻļā§āĻ˛ Linux āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ v2.6-āĻāĻ° āĻāĻāĻ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖā§āĻ° āĻ¸āĻžāĻĨā§ SELinux-āĻāĻ° āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻāĻ¨ā§āĻāĻŋāĻā§āĻ°ā§āĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻ¨ā§āĻ¨ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°ā§āĻā§āĨ¤ āĻĒā§āĻ°āĻžāĻ¯āĻŧ āĻ āĻŦāĻŋāĻ˛āĻŽā§āĻŦā§, SELinux āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻĒāĻ°āĻŋāĻŦā§āĻļā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĄāĻŋ āĻĢā§āĻ¯āĻžāĻā§āĻā§ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻšāĻ¯āĻŧā§ āĻāĻ ā§ āĻāĻŦāĻ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻāĻ¨āĻĒā§āĻ°āĻŋāĻ¯āĻŧ āĻĄāĻŋāĻ¸ā§āĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻļāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤ āĻāĻŋāĻ˛: RedHat Enterprise Linux, Fedora, Debian, UbuntuāĨ¤
SELinux āĻļāĻŦā§āĻĻāĻā§āĻˇ
- āĻĒāĻ°āĻŋāĻāĻ¯āĻŧ â SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻāĻāĻ¨āĻŋāĻā§āĻ¸/āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻāĻĄāĻŋāĻ° āĻŽāĻ¤ā§ āĻ¨āĻ¯āĻŧ; āĻ¤āĻžāĻ°āĻž āĻāĻāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¸āĻšāĻžāĻŦāĻ¸ā§āĻĨāĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¸āĻžāĻ°āĻžāĻāĻļā§ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻāĻŋāĻ¨ā§āĻ¨āĨ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ SELinux-āĻ āĻāĻ āĻŦāĻž āĻāĻāĻžāĻ§āĻŋāĻ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻā§āĻāĻ¤āĻŋāĻĒā§āĻ°ā§āĻŖ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ SELinux āĻāĻāĻĄā§āĻ¨ā§āĻāĻŋāĻāĻŋ āĻšāĻ˛ āĻ¸āĻžāĻŽāĻā§āĻ°āĻŋāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°ā§āĻā§āĻˇāĻžāĻĒāĻā§āĻ° āĻ āĻāĻļ, āĻ¯āĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§ āĻāĻĒāĻ¨āĻŋ āĻā§āĻ¨ āĻĄā§āĻŽā§āĻ¨ā§ āĻ¯ā§āĻ āĻĻāĻŋāĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻāĻŦāĻ āĻā§ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤
- āĻĄā§āĻŽā§āĻ¨āĻā§āĻ˛āĻŋ - SELinux-āĻ, āĻāĻāĻāĻŋ āĻĄā§āĻŽā§āĻ¨ āĻšāĻ˛ āĻāĻāĻāĻŋ āĻŦāĻŋāĻˇāĻ¯āĻŧā§āĻ° āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻšā§āĻ° āĻĒā§āĻ°āĻ¸āĻā§āĻ, āĻ¯ā§āĻŽāĻ¨ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĨ¤ āĻĄā§āĻŽā§āĻ¨ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻāĻāĻāĻŋ āĻĄā§āĻŽā§āĻāĻ¨ āĻŽā§āĻ˛āĻ¤ āĻā§ āĻā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻŦāĻž āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ§āĻ°āĻ¨ā§āĻ° āĻ¸āĻā§āĻā§ āĻā§ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¤āĻžāĻ° āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĨ¤ āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻāĻŋāĻā§ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻšāĻ˛ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ ā§āĻ¯āĻžāĻĄāĻŽāĻŋāĻ¨āĻŋāĻ¸ā§āĻā§āĻ°ā§āĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ sysadm_t, āĻāĻŦāĻ user_t āĻ¯āĻž āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ -āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻĄā§āĻŽā§āĻ¨āĨ¤ init āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋ init_t āĻĄā§āĻŽā§āĻ¨ā§ āĻāĻ˛ā§ āĻāĻŦāĻ āĻ¨āĻžāĻŽāĻ¯ā§āĻā§āĻ¤ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻ¨āĻžāĻŽā§-āĻāĻŋ āĻĄā§āĻŽā§āĻ¨ā§ āĻāĻ˛ā§āĨ¤
- āĻā§āĻŽāĻŋāĻāĻž â āĻ¯āĻž āĻĄā§āĻŽā§āĻāĻ¨ āĻāĻŦāĻ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻŽāĻ§ā§āĻ¯āĻ¸ā§āĻĨāĻ¤āĻžāĻāĻžāĻ°ā§ āĻšāĻŋāĻ¸ā§āĻŦā§ āĻāĻžāĻ āĻāĻ°ā§āĨ¤ āĻā§āĻŽāĻŋāĻāĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§ āĻā§āĻ¨ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻā§āĻ¨ āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻāĻ¤ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻž āĻā§āĻ¨ āĻ§āĻ°āĻ¨ā§āĻ° āĻŦāĻ¸ā§āĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻŽā§āĻāĻžāĻ¨āĻŋāĻāĻŽ āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻĻā§āĻ§āĻŋāĻ° āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻšā§āĻŽāĻāĻŋ āĻĒā§āĻ°āĻ¤āĻŋāĻ°ā§āĻ§ āĻāĻ°ā§āĨ¤ āĻā§āĻŽāĻŋāĻāĻžāĻā§āĻ˛āĻŋ SELinux-āĻ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻā§āĻŽāĻŋāĻāĻž āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ (RBAC) āĻ¸ā§āĻ°āĻā§āĻˇāĻž āĻŽāĻĄā§āĻ˛ā§ āĻ˛ā§āĻāĻž āĻšāĻ¯āĻŧāĨ¤
- āĻ§āĻ°āĻ¨ā§āĻ° â āĻāĻāĻāĻŋ āĻāĻžāĻāĻĒ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŽā§āĻ¨ā§āĻ āĻ˛āĻŋāĻ¸ā§āĻ āĻ ā§āĻ¯āĻžāĻā§āĻ°āĻŋāĻŦāĻŋāĻāĻ āĻ¯āĻž āĻāĻāĻāĻŋ āĻ āĻŦāĻā§āĻā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻā§ āĻāĻāĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤ āĻĄā§āĻŽā§āĻ¨ āĻ¸āĻāĻā§āĻāĻžāĻ° āĻ āĻ¨ā§āĻ°ā§āĻĒ, āĻĄā§āĻŽā§āĻ¨āĻāĻŋ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¯ āĻāĻŦāĻ āĻāĻžāĻāĻĒāĻāĻŋ āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ, āĻĢāĻžāĻāĻ˛, āĻ¸āĻā§āĻ āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋāĻ° āĻŽāĻ¤ā§ āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¯āĨ¤
- āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻāĻŦāĻ āĻŦāĻ¸ā§āĻ¤ā§ - āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒā§āĻ°āĻ¸āĻā§āĻā§ āĻŦāĻž āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĄā§āĻŽā§āĻ¨ā§ āĻāĻžāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ°āĻŋāĻ¸ā§āĻ°ā§āĻ¸: āĻĢāĻžāĻāĻ˛, āĻĄāĻŋāĻ°ā§āĻā§āĻāĻ°āĻŋ, āĻ¸āĻā§āĻ, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ, āĻāĻŽāĻ¨ āĻŦāĻ¸ā§āĻ¤ā§ āĻ¯āĻž āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ āĻ¨ā§āĻ¯ āĻāĻĨāĻžāĻ¯āĻŧ, āĻāĻāĻāĻŋ āĻā§āĻĒāĻ¨ā§āĻ¯āĻŧāĻ¤āĻž āĻ¸ā§āĻ¤āĻ°āĨ¤
- SELinux āĻ¨ā§āĻ¤āĻŋ â SELinux āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ°āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ¨ā§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤ SELinux āĻ¨ā§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻā§āĻŽāĻŋāĻāĻž, āĻĄā§āĻŽā§āĻ¨ā§ āĻā§āĻŽāĻŋāĻāĻž āĻāĻŦāĻ āĻĒā§āĻ°āĻāĻžāĻ°ā§āĻ° āĻĄā§āĻŽā§āĻ¨ā§āĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸āĻā§ āĻ¸āĻāĻā§āĻāĻžāĻ¯āĻŧāĻŋāĻ¤ āĻāĻ°ā§āĨ¤ āĻĒā§āĻ°āĻĨāĻŽāĻ¤, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻā§āĻŽāĻŋāĻāĻž āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤, āĻ¤āĻžāĻ°āĻĒāĻ° āĻā§āĻŽāĻŋāĻāĻžāĻāĻŋ āĻĄā§āĻŽā§āĻ¨ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤āĨ¤ āĻ āĻŦāĻļā§āĻˇā§, āĻāĻāĻāĻŋ āĻĄā§āĻŽā§āĻ¨ā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĨāĻžāĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
LSM āĻāĻŦāĻ SELinux āĻāĻ°ā§āĻāĻŋāĻā§āĻāĻāĻžāĻ°
āĻ¨āĻžāĻŽ āĻĨāĻžāĻāĻž āĻ¸āĻ¤ā§āĻ¤ā§āĻŦā§āĻ, LSMāĻā§āĻ˛āĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻ˛ā§āĻĄāĻ¯ā§āĻā§āĻ¯ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻŽāĻĄāĻŋāĻāĻ˛ āĻ¨āĻ¯āĻŧāĨ¤ āĻ¯āĻžāĻāĻšā§āĻ, SELinux āĻāĻ° āĻŽāĻ¤, āĻāĻāĻŋ āĻ¸āĻ°āĻžāĻ¸āĻ°āĻŋ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻ¤ā§āĻ°āĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤ LSM āĻ¸ā§āĻ°ā§āĻ¸ āĻā§āĻĄā§āĻ° āĻ¯ā§āĻā§āĻ¨ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻ¸āĻāĻāĻ˛āĻ¨ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨āĨ¤ āĻ¸āĻāĻļā§āĻ˛āĻŋāĻˇā§āĻ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻāĻŋ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻ¸ā§āĻāĻŋāĻāĻ¸ā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻž āĻāĻŦāĻļā§āĻ¯āĻ, āĻ āĻ¨ā§āĻ¯āĻĨāĻžāĻ¯āĻŧ āĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ LSM āĻā§āĻĄ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻž āĻšāĻŦā§ āĻ¨āĻžāĨ¤ āĻ¤āĻŦā§ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§āĻ, āĻāĻāĻŋ OS āĻŦā§āĻāĻ˛ā§āĻĄāĻžāĻ° āĻŦāĻŋāĻāĻ˛ā§āĻĒ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
LSM āĻā§āĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ
LSM āĻŽā§āĻ˛ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻĢāĻžāĻāĻļāĻ¨ā§ āĻšā§āĻ āĻĻāĻŋāĻ¯āĻŧā§ āĻ¸āĻā§āĻāĻŋāĻ¤ āĻ¯āĻž āĻā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻžāĻ¸āĻā§āĻāĻŋāĻ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ LSM-āĻāĻ° āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ āĻšāĻ˛ āĻ¤āĻžāĻ°āĻž āĻ¸ā§āĻā§āĻ¯āĻžāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻāĻāĻāĻžāĻŦā§, āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻā§āĻ āĻāĻāĻ¨āĻ āĻ¸āĻā§āĻāĻžāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧ, āĻāĻŦāĻ LSM-āĻāĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ¸ā§āĻ¤āĻ° āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻŦāĻ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ¯ā§āĻ āĻāĻ°ā§āĨ¤ āĻāĻ° āĻŽāĻžāĻ¨ā§ āĻāĻ āĻ¨āĻŋāĻˇā§āĻ§āĻžāĻā§āĻāĻž āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯āĻžāĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻāĻŋ āĻāĻŋāĻ¤ā§āĻ°ā§ āĻĻā§āĻāĻžāĻ¨ā§ āĻšāĻ¯āĻŧā§āĻā§; āĻ¯āĻĻāĻŋ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻŋāĻ¤ DAC āĻā§āĻā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻŦā§āĻ¯āĻ°ā§āĻĨ āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ āĻŦāĻŋāĻˇāĻ¯āĻŧāĻāĻŋ LSM āĻšā§āĻā§āĻ° āĻāĻžāĻā§āĻ āĻĒā§āĻāĻāĻžāĻŦā§ āĻ¨āĻžāĨ¤
SELinux āĻĢā§āĻ˛ā§āĻ āĻ°āĻŋāĻ¸āĻžāĻ°ā§āĻ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻĢā§āĻ˛āĻžāĻ¸ā§āĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻāĻ°ā§āĻāĻŋāĻā§āĻāĻāĻžāĻ° āĻā§āĻ°āĻšāĻŖ āĻāĻ°ā§, āĻŦāĻŋāĻļā§āĻˇ āĻāĻ°ā§ āĻ¨ā§āĻ¯ā§āĻ¨āĻ¤āĻŽ āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ°ā§āĻ° āĻ¨ā§āĻ¤āĻŋāĨ¤ āĻāĻ āĻ§āĻžāĻ°āĻŖāĻžāĻāĻŋāĻ° āĻ¸āĻžāĻ°āĻŽāĻ°ā§āĻŽ, āĻāĻāĻŋāĻ° āĻ¨āĻžāĻŽ āĻ āĻ¨ā§āĻ¸āĻžāĻ°ā§, āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻŽāĻā§āĻā§āĻ° āĻāĻ°āĻž āĻŦāĻž āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¸ā§āĻ āĻ āĻ§āĻŋāĻāĻžāĻ°āĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°āĻž āĻ¯āĻž āĻāĻĻā§āĻĻā§āĻļā§āĻ¯āĻŽā§āĻ˛āĻ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧāĨ¤ āĻāĻ āĻ¨ā§āĻ¤āĻŋāĻāĻŋ āĻā§āĻ°āĻĒā§āĻ°ā§āĻŦāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻžāĻāĻĒāĻŋāĻ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻāĻāĻāĻžāĻŦā§ SELinux-āĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻĄā§āĻŽā§āĻ¨ => āĻāĻžāĻāĻĒ āĻŽāĻĄā§āĻ˛ā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§āĨ¤
āĻŦāĻžāĻ§ā§āĻ¯āĻ¤āĻžāĻŽā§āĻ˛āĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻžāĻāĻĒāĻŋāĻāĻ¯āĻŧā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ§āĻ¨ā§āĻ¯āĻŦāĻžāĻĻ, āĻāĻāĻ¨āĻŋāĻā§āĻ¸/āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻĒā§āĻ°āĻāĻ˛āĻŋāĻ¤ DAC āĻŽāĻĄā§āĻ˛ā§āĻ° āĻ¤ā§āĻ˛āĻ¨āĻžāĻ¯āĻŧ SELinux-āĻāĻ° āĻ āĻ¨ā§āĻ āĻŦā§āĻļāĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻā§āĻˇāĻŽāĻ¤āĻž āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻĒāĻ¨āĻŋ āĻ¯ā§ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĒā§āĻ°ā§āĻ āĻ¨āĻŽā§āĻŦāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻĢāĻāĻŋāĻĒāĻŋ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ¸āĻāĻ¯ā§āĻ āĻāĻ°āĻŦā§ āĻ¤āĻž āĻ¸ā§āĻŽāĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ āĻ˛āĻŋāĻāĻ¤ā§ āĻāĻŦāĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻāĻŋāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻ¤ā§ āĻĒāĻžāĻ°āĻŦā§āĻ¨ āĻ¨āĻžāĨ¤
SELinux āĻāĻ° āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻāĻĒāĻžāĻĻāĻžāĻ¨ āĻšāĻ˛:
- āĻĒāĻ˛āĻŋāĻ¸āĻŋ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŽā§āĻ¨ā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° - āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻ¸āĻāĻāĻ āĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ§āĻžāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĨ¤
- āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨ā§āĻ¤āĻŋ āĻĄāĻžāĻāĻžāĻŦā§āĻ¸.
- LSM āĻāĻā§āĻ¨ā§āĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¸ā§āĻĒā§āĻāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻĨāĻ¸ā§āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĨ¤
- Selinuxfs - Pseudo-FS, /proc āĻāĻ° āĻŽāĻ¤ā§ āĻāĻŦāĻ /sys/fs/selinux-āĻ āĻŽāĻžāĻāĻ¨ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻ°āĻžāĻ¨āĻāĻžāĻāĻŽā§ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻāĻžāĻ°ā§āĻ¨ā§āĻ˛ āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻāĻ¨āĻŦāĻšā§āĻ˛ āĻāĻŦāĻ SELinux āĻ¸ā§āĻā§āĻ¯āĻžāĻāĻžāĻ¸ āĻ¤āĻĨā§āĻ¯ āĻ§āĻžāĻ°āĻŖāĻāĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛ āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤
- āĻā§āĻā§āĻāĻ° āĻā§āĻ¯āĻžāĻļā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°ā§āĻ¨ - āĻāĻ¤ā§āĻĒāĻžāĻĻāĻ¨āĻļā§āĻ˛āĻ¤āĻž āĻŦā§āĻĻā§āĻ§āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¸āĻšāĻžāĻ¯āĻŧāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĨ¤
SELinux āĻāĻŋāĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§
āĻāĻāĻž āĻ¸āĻŦ āĻāĻ āĻŽāĻ¤ āĻāĻžāĻ āĻāĻ°ā§.
- āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻŦāĻŋāĻˇāĻ¯āĻŧ, SELinux āĻĒāĻ°āĻŋāĻāĻžāĻˇāĻžāĻ¯āĻŧ, DAC āĻā§āĻā§āĻ° āĻĒāĻ°ā§ āĻāĻāĻāĻŋ āĻŦāĻ¸ā§āĻ¤ā§āĻ° āĻāĻĒāĻ° āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°ā§, āĻ¯ā§āĻŽāĻ¨āĻāĻŋ āĻāĻĒāĻ°ā§āĻ° āĻāĻŦāĻŋāĻ¤ā§ āĻĻā§āĻāĻžāĻ¨ā§ āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ āĻ āĻ¨ā§āĻ°ā§āĻ§ LSM āĻāĻā§āĻ¨ā§āĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻ¸ā§āĻĒā§āĻāĻ°ā§āĻ° āĻāĻžāĻā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤
- āĻ¸ā§āĻāĻžāĻ¨ āĻĨā§āĻā§, āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻāĻŦāĻ āĻ āĻŦāĻā§āĻā§āĻā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻĒā§āĻ°āĻ¸āĻā§āĻ āĻ¸āĻš āĻ āĻ¨ā§āĻ°ā§āĻ§āĻāĻŋ SELinux āĻ ā§āĻ¯āĻžāĻŦāĻ¸ā§āĻā§āĻ°āĻžāĻāĻļāĻ¨ āĻāĻŦāĻ āĻšā§āĻ āĻ˛āĻāĻŋāĻ āĻŽāĻĄāĻŋāĻāĻ˛ā§ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻšāĻ¯āĻŧ, āĻ¯āĻž LSM-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻāĻžāĻ¯ā§āĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§āĨ¤
- āĻāĻāĻāĻŋ āĻŦāĻŋāĻˇāĻ¯āĻŧā§āĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧā§ āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻā§āĻ°āĻšāĻŖāĻāĻžāĻ°ā§ āĻāĻ°ā§āĻ¤ā§āĻĒāĻā§āĻˇ āĻšāĻ˛ āĻĒāĻ˛āĻŋāĻ¸āĻŋ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŽā§āĻ¨ā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻāĻŦāĻ āĻāĻāĻŋ SELinux AnHL āĻĨā§āĻā§ āĻĄā§āĻāĻž āĻā§āĻ°āĻšāĻŖ āĻāĻ°ā§āĨ¤
- āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻŦāĻž āĻ āĻ¸ā§āĻŦā§āĻā§āĻ¤āĻŋ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻ¨āĻŋāĻ¤ā§, āĻ¨ā§āĻ¤āĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻāĻžāĻ°ā§ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ¸āĻ°ā§āĻŦāĻžāĻ§āĻŋāĻ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻā§āĻā§āĻāĻ° āĻā§āĻ¯āĻžāĻļā§ (AVC) āĻā§āĻ¯āĻžāĻļāĻŋāĻ āĻ¸āĻžāĻŦāĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻĒāĻ°āĻŋāĻŖāĻ¤ āĻšāĻ¯āĻŧā§ˇ
- āĻ¯āĻĻāĻŋ āĻā§āĻ¯āĻžāĻļā§ āĻ¸āĻāĻļā§āĻ˛āĻŋāĻˇā§āĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¨āĻž āĻ¯āĻžāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ āĻ āĻ¨ā§āĻ°ā§āĻ§āĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨ā§āĻ¤āĻŋ āĻĄāĻžāĻāĻžāĻŦā§āĻ¸ā§ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻšāĻ¯āĻŧāĨ¤
- āĻĄāĻžāĻāĻžāĻŦā§āĻ¸ āĻāĻŦāĻ AVC āĻĨā§āĻā§ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻĒāĻ˛āĻŋāĻ¸āĻŋ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŽā§āĻ¨ā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§ āĻĢā§āĻ°āĻ¤ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧāĨ¤
- āĻ¯āĻĻāĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¨ā§āĻ¤āĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°āĻž āĻāĻ°ā§āĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻŽā§āĻ˛ā§, āĻ¤āĻžāĻšāĻ˛ā§ āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤āĨ¤ āĻ āĻ¨ā§āĻ¯āĻĨāĻžāĻ¯āĻŧ, āĻ āĻĒāĻžāĻ°ā§āĻļāĻ¨ āĻ¨āĻŋāĻˇāĻŋāĻĻā§āĻ§āĨ¤
SELinux āĻ¸ā§āĻāĻŋāĻāĻ¸ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻž
SELinux āĻ¤āĻŋāĻ¨āĻāĻŋ āĻŽā§āĻĄā§āĻ° āĻāĻāĻāĻŋāĻ¤ā§ āĻāĻžāĻ āĻāĻ°ā§:
- āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŋāĻ - āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨ā§āĻ¤āĻŋāĻ° āĻāĻ ā§āĻ° āĻāĻ¨ā§āĻāĻ¤ā§āĻ¯āĨ¤
- āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ - āĻŦāĻŋāĻ§āĻŋāĻ¨āĻŋāĻˇā§āĻ§ āĻ˛āĻā§āĻāĻ¨ āĻ āĻ¨ā§āĻŽā§āĻĻāĻŋāĻ¤; āĻāĻžāĻ°ā§āĻ¨āĻžāĻ˛ā§ āĻāĻāĻāĻŋ āĻ¸āĻāĻļā§āĻ˛āĻŋāĻˇā§āĻ āĻ¨ā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
- āĻ āĻā§āĻˇāĻŽ-āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¨ā§āĻ¤āĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻ¨āĻ¯āĻŧāĨ¤
āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§ SELinux āĻā§āĻ¨ āĻŽā§āĻĄā§ āĻāĻā§ āĻ¤āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
[admin@server ~]$ getenforce
Permissive
āĻ°āĻŋāĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻāĻā§ āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻŋāĻā§ āĻāĻ¨āĻĢā§āĻ°ā§āĻ¸āĻŋāĻ-āĻ āĻ¸ā§āĻ āĻāĻ°āĻž āĻŦāĻž 1āĨ¤ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋāĻŽā§āĻ˛āĻ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°āĻāĻŋ āĻ¸āĻāĻā§āĻ¯āĻžāĻ¸ā§āĻāĻ āĻā§āĻĄ 0-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻ˛ā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤
[admin@server ~]$ setenfoce enforcing
[admin@server ~]$ setenfoce 1 #ŅĐž ĐļĐĩ ŅĐ°ĐŧĐžĐĩ
āĻāĻĒāĻ¨āĻŋ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻž āĻāĻ°ā§ āĻŽā§āĻĄ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨:
[admin@server ~]$ cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=āĻ˛āĻā§āĻˇā§āĻ¯
setenfoce āĻāĻ° āĻ¸āĻžāĻĨā§ āĻĒāĻžāĻ°ā§āĻĨāĻā§āĻ¯ āĻšāĻ˛ āĻ¯ā§ āĻ¯āĻāĻ¨ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻŦā§āĻ āĻšāĻ¯āĻŧ, SELinux āĻŽā§āĻĄ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĢāĻžāĻāĻ˛ā§āĻ° SELINUX āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°ā§āĻ° āĻŽāĻžāĻ¨ āĻ āĻ¨ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻ¸ā§āĻ āĻāĻ°āĻž āĻšāĻŦā§āĨ¤ āĻāĻĒāĻ°āĻ¨ā§āĻ¤ā§, <=> āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨āĻā§āĻ˛āĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° /etc/selinux/config āĻĢāĻžāĻāĻ˛ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨āĻž āĻāĻ°ā§ āĻāĻŦāĻ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻŦā§āĻ āĻāĻ°āĻžāĻ° āĻĒāĻ°ā§ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻšāĻ¯āĻŧāĨ¤
āĻāĻāĻāĻŋ āĻ¸āĻāĻā§āĻˇāĻŋāĻĒā§āĻ¤ āĻ āĻŦāĻ¸ā§āĻĨāĻž āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻĻā§āĻā§āĻ¨:
[admin@server ~]$ sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
SELinux āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĻā§āĻ˛āĻŋ āĻĻā§āĻāĻ¤ā§, āĻāĻŋāĻā§ āĻŽāĻžāĻ¨āĻ āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋ -Z āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĨ¤
[admin@server ~]$ ls -lZ /var/log/httpd/
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200920
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20200927
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201004
-rw-r--r--. root root system_u:object_r:httpd_log_t:s0 access_log-20201011
[admin@server ~]$ ps -u apache -Z
LABEL PID TTY TIME CMD
system_u:system_r:httpd_t:s0 2914 ? 00:00:04 httpd
system_u:system_r:httpd_t:s0 2915 ? 00:00:00 httpd
system_u:system_r:httpd_t:s0 2916 ? 00:00:00 httpd
system_u:system_r:httpd_t:s0 2917 ? 00:00:00 httpd
...
system_u:system_r:httpd_t:s0 2918 ? 00:00:00 httpd
ls -l-āĻāĻ° āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻ āĻāĻāĻāĻĒā§āĻā§āĻ° āĻ¤ā§āĻ˛āĻ¨āĻžāĻ¯āĻŧ, āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ā§ āĻŦā§āĻļ āĻāĻŋāĻā§ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻā§āĻˇā§āĻ¤ā§āĻ° āĻ°āĻ¯āĻŧā§āĻā§:
<user>:<role>:<type>:<level>
āĻļā§āĻˇ āĻā§āĻˇā§āĻ¤ā§āĻ°āĻāĻŋ āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻļā§āĻ°ā§āĻŖā§āĻŦāĻŋāĻāĻžāĻā§āĻ° āĻŽāĻ¤ā§ āĻāĻŋāĻā§ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§ āĻāĻŦāĻ āĻĻā§āĻāĻŋ āĻāĻĒāĻžāĻĻāĻžāĻ¨ā§āĻ° āĻ¸āĻŽāĻ¨ā§āĻŦāĻ¯āĻŧ āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻ āĻŋāĻ¤:
- s0 - āĻ¤āĻžā§āĻĒāĻ°ā§āĻ¯, āĻ¨āĻŋāĻŽā§āĻ¨āĻ¸ā§āĻ¤āĻ°ā§āĻ°-āĻāĻā§āĻāĻ¸ā§āĻ¤āĻ°ā§āĻ° āĻŦā§āĻ¯āĻŦāĻ§āĻžāĻ¨ āĻšāĻŋāĻ¸āĻžāĻŦā§āĻ āĻ˛ā§āĻāĻž
- c0, c1âĻ c1023 - āĻŦāĻŋāĻāĻžāĻāĨ¤
āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§
SELinux āĻŽāĻĄāĻŋāĻāĻ˛ āĻ˛ā§āĻĄ, āĻ¯ā§āĻ āĻāĻŦāĻ āĻ āĻĒāĻ¸āĻžāĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻ¸ā§āĻŽāĻĄāĻŋāĻāĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨āĨ¤
[admin@server ~]$ semodule -l |wc -l #ŅĐŋиŅĐžĐē вŅĐĩŅ
ĐŧОдŅĐģĐĩĐš
408
[admin@server ~]$ semodule -e abrt #enable - Đ°ĐēŅивиŅОваŅŅ ĐŧОдŅĐģŅ
[admin@server ~]$ semodule -d accountsd #disable - ĐžŅĐēĐģŅŅиŅŅ ĐŧОдŅĐģŅ
[admin@server ~]$ semodule -r avahi #remove - ŅĐ´Đ°ĐģиŅŅ ĐŧОдŅĐģŅ
āĻĒā§āĻ°āĻĨāĻŽ āĻĻāĻ˛ semanage āĻ˛āĻāĻāĻ¨ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻāĻ°ā§, āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧāĻāĻŋ āĻāĻāĻāĻŋ āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻ¨ āĻāĻ°ā§āĨ¤ āĻ āĻŦāĻļā§āĻˇā§, -r āĻ¸ā§āĻāĻ āĻ¸āĻš āĻļā§āĻˇ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻĻā§āĻ° OS āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻā§ āĻŽā§āĻ¯āĻžāĻĒāĻŋāĻ āĻ¸āĻ°āĻŋāĻ¯āĻŧā§ āĻĻā§āĻ¯āĻŧāĨ¤ MLS/MCS āĻĒāĻ°āĻŋāĻ¸āĻ°ā§āĻ° āĻŽāĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŋāĻ¨āĻā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ° āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻžāĻā§āĻ¯āĻž āĻĒā§āĻ°ā§āĻŦāĻŦāĻ°ā§āĻ¤ā§ āĻŦāĻŋāĻāĻžāĻā§ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤
[admin@server ~]$ semanage login -a -s user_u karol
[admin@server ~]$ semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
[admin@server ~]$ semanage login -d karol
āĻā§āĻŽ semanage āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻŦāĻ āĻā§āĻŽāĻŋāĻāĻžāĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻŽā§āĻ¯āĻžāĻĒāĻŋāĻ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤
[admin@server ~]$ semanage user -l
Labeling MLS/ MLS/
SELinux User Prefix MCS Level MCS Range SELinux Roles
guest_u user s0 s0 guest_r
staff_u staff s0 s0-s0:c0.c1023 staff_r sysadm_r
...
user_u user s0 s0 user_r
xguest_u user s0 s0 xguest_r
[admin@server ~]$ semanage user -a -R 'staff_r user_r'
[admin@server ~]$ semanage user -d test_u
āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ:
- - āĻāĻāĻāĻŋ āĻāĻžāĻ¸ā§āĻāĻŽ āĻā§āĻŽāĻŋāĻāĻž āĻŽā§āĻ¯āĻžāĻĒāĻŋāĻ āĻāĻ¨ā§āĻā§āĻ°āĻŋ āĻ¯ā§āĻ āĻāĻ°ā§āĻ¨;
- -l āĻŽā§āĻ˛āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻāĻŦāĻ āĻā§āĻŽāĻŋāĻāĻžāĻ° āĻ¤āĻžāĻ˛āĻŋāĻāĻž;
- -d āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻā§āĻŽāĻŋāĻāĻž āĻŽā§āĻ¯āĻžāĻĒāĻŋāĻ āĻāĻ¨ā§āĻā§āĻ°āĻŋ āĻŽā§āĻā§ āĻĢā§āĻ˛ā§āĻ¨;
- - āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻā§āĻŽāĻŋāĻāĻžāĻ° āĻ¤āĻžāĻ˛āĻŋāĻāĻž;
āĻĢāĻžāĻāĻ˛, āĻĒā§āĻ°ā§āĻ āĻāĻŦāĻ āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨
āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ SELinux āĻŽāĻĄāĻŋāĻāĻ˛ āĻĢāĻžāĻāĻ˛ āĻā§āĻ¯āĻžāĻāĻŋāĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°ā§, āĻ¤āĻŦā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§ āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻā§āĻ° āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻ āĻ¯ā§āĻ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻŽāĻ°āĻž āĻāĻžāĻ āĻ¯ā§ āĻāĻ¯āĻŧā§āĻŦ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° /srv/www āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻ āĻ§āĻŋāĻāĻžāĻ° āĻĨāĻžāĻāĻŦā§āĨ¤
[admin@server ~]$ semanage fcontext -a -t httpd_sys_content_t "/srv/www(/.*)?
[admin@server ~]$ restorecon -R /srv/www/
āĻĒā§āĻ°āĻĨāĻŽ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻ¨ āĻāĻ°ā§, āĻāĻŦāĻ āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧāĻāĻŋ āĻ°āĻŋāĻ¸ā§āĻ āĻāĻ°ā§, āĻŦāĻž āĻŦāĻ°āĻ āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻ¨āĻŋāĻ¯āĻŧāĻŽ āĻ āĻ¨ā§āĻ¸āĻžāĻ°ā§ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ§āĻ°āĻ¨āĻā§āĻ˛āĻŋ āĻ¸ā§āĻ āĻāĻ°ā§āĨ¤
āĻāĻāĻāĻāĻžāĻŦā§, āĻāĻŋāĻ¸āĻŋāĻĒāĻŋ/āĻāĻāĻĄāĻŋāĻĒāĻŋ āĻĒā§āĻ°ā§āĻāĻā§āĻ˛āĻŋāĻā§ āĻāĻŽāĻ¨āĻāĻžāĻŦā§ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¯ā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻĒāĻ¯ā§āĻā§āĻ¤ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻā§āĻ˛āĻŋ āĻ¤āĻžāĻĻā§āĻ° āĻļā§āĻ¨āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻĒā§āĻ°ā§āĻ 8080 āĻ āĻāĻ¯āĻŧā§āĻŦ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻļā§āĻ¨āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¤ā§ āĻšāĻŦā§āĨ¤
[admin@server ~]$ semanage port -m -t http_port_t -p tcp 8080
SELinux āĻŽāĻĄāĻŋāĻāĻ˛āĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻāĻ˛ā§āĻ˛ā§āĻāĻ¯ā§āĻā§āĻ¯ āĻ¸āĻāĻā§āĻ¯āĻ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨ āĻā§āĻ°āĻšāĻŖ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°ā§āĻ° āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻ¤āĻžāĻ˛āĻŋāĻāĻž getsebool -a āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĻā§āĻāĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻĒāĻ¨āĻŋ āĻ¸ā§āĻāĻ¸ā§āĻŦā§āĻ˛ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŦā§āĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽāĻžāĻ¨ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_cgi --> on
[admin@server ~]$ setsebool -P httpd_enable_cgi off
[admin@server ~]$ getsebool httpd_enable_cgi
httpd_enable_homedirs --> off
āĻāĻ°ā§āĻŽāĻļāĻžāĻ˛āĻž, Pgadmin-āĻāĻ¯āĻŧā§āĻŦ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ˛āĻžāĻ āĻāĻ°ā§āĻ¨
āĻāĻ¸ā§āĻ¨ āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻŋāĻ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĻā§āĻāĻŋ: āĻāĻŽāĻ°āĻž āĻĒā§āĻ¸ā§āĻāĻā§āĻ°ā§āĻāĻ¸āĻāĻŋāĻāĻāĻ˛ āĻĄāĻžāĻāĻžāĻŦā§āĻ¸ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻ¤ā§ RHEL 7.6-āĻ pgadmin4-web āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°ā§āĻāĻŋāĨ¤ āĻāĻŽāĻ°āĻž āĻāĻāĻā§ āĻšāĻžāĻāĻāĻ˛āĻžāĻŽ
āĻāĻŽāĻ°āĻž āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ¸āĻ¨ā§āĻĻā§āĻšāĻāĻžāĻāĻ¨āĻĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻļā§āĻ°ā§ āĻāĻ°āĻŋ, /var/log/httpd/error_log āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§āĨ¤ āĻ¸ā§āĻāĻžāĻ¨ā§ āĻāĻŋāĻā§ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧ āĻāĻ¨ā§āĻā§āĻ°āĻŋ āĻāĻā§.
[timestamp] [core:notice] [pid 23689] SELinux policy enabled; httpd running as context system_u:system_r:httpd_t:s0
...
[timestamp] [wsgi:error] [pid 23690] [Errno 13] Permission denied: '/var/lib/pgadmin'
[timestamp] [wsgi:error] [pid 23690]
[timestamp] [wsgi:error] [pid 23690] HINT : You may need to manually set the permissions on
[timestamp] [wsgi:error] [pid 23690] /var/lib/pgadmin to allow apache to write to it.
āĻāĻ āĻŽā§āĻšā§āĻ°ā§āĻ¤ā§, āĻŦā§āĻļāĻŋāĻ°āĻāĻžāĻ āĻ˛āĻŋāĻ¨āĻžāĻā§āĻ¸ āĻ ā§āĻ¯āĻžāĻĄāĻŽāĻŋāĻ¨āĻŋāĻ¸ā§āĻā§āĻ°ā§āĻāĻ°āĻ°āĻž setencorce 0 āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻŦāĻ˛āĻāĻžāĻŦā§ āĻĒā§āĻ°āĻ˛ā§āĻŦā§āĻ§ āĻšāĻŦā§, āĻāĻŦāĻ āĻāĻāĻŋāĻ āĻāĻ° āĻļā§āĻˇ āĻšāĻŦā§āĨ¤ āĻ¸āĻ¤ā§āĻ¯āĻŋ āĻŦāĻ˛āĻ¤ā§ āĻāĻŋ, āĻāĻŽāĻŋ āĻĒā§āĻ°āĻĨāĻŽāĻŦāĻžāĻ° āĻ¸ā§āĻāĻžāĻ āĻāĻ°ā§āĻāĻŋāĨ¤ āĻāĻāĻŋ āĻ āĻŦāĻļā§āĻ¯āĻ āĻāĻāĻāĻŋ āĻāĻĒāĻžāĻ¯āĻŧ āĻāĻāĻ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¸ā§āĻ°āĻž āĻĨā§āĻā§ āĻ āĻ¨ā§āĻ āĻĻā§āĻ°ā§.
āĻāĻˇā§āĻāĻāĻ° āĻĄāĻŋāĻāĻžāĻāĻ¨ āĻ¸āĻ¤ā§āĻ¤ā§āĻŦā§āĻ, SELinux āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§-āĻŦāĻžāĻ¨ā§āĻ§āĻŦ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻļā§āĻ§ā§ setroubleshoot āĻĒā§āĻ¯āĻžāĻā§āĻāĻāĻŋ āĻāĻ¨āĻ¸ā§āĻāĻ˛ āĻāĻ°ā§āĻ¨ āĻāĻŦāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ˛āĻāĻāĻŋ āĻĻā§āĻā§āĻ¨āĨ¤
[admin@server ~]$ yum install setroubleshoot
[admin@server ~]$ journalctl -b -0
[admin@server ~]$ service restart auditd
āĻ āĻ¨ā§āĻā§āĻ°āĻš āĻāĻ°ā§ āĻŽāĻ¨ā§ āĻ°āĻžāĻāĻŦā§āĻ¨ āĻ¯ā§ āĻ āĻĄāĻŋāĻāĻĄ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĻāĻŋ āĻāĻāĻāĻžāĻŦā§ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻāĻžāĻ˛ā§ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ āĻāĻŦāĻ OS-āĻ systemd āĻĨāĻžāĻāĻž āĻ¸āĻ¤ā§āĻ¤ā§āĻŦā§āĻ systemctl āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ¨āĻž āĻāĻ°āĻž āĻāĻāĻŋāĻ¤āĨ¤ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ˛āĻā§ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻŋāĻ¤ āĻšāĻŦā§ āĻļā§āĻ§ā§ āĻŦā§āĻ˛āĻ āĻāĻ°āĻžāĻ° āĻāĻāĻ¨āĻžāĻ āĻ¨āĻ¯āĻŧ, āĻāĻžāĻ°āĻŖāĻ āĻ¨āĻŋāĻˇā§āĻ§āĻžāĻā§āĻāĻž āĻāĻžāĻāĻŋāĻ¯āĻŧā§ āĻāĻ āĻžāĻ° āĻāĻĒāĻžāĻ¯āĻŧ.
āĻāĻŽāĻ°āĻž āĻāĻ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻŋ:
[admin@server ~]$ setsebool -P httpd_can_network_connect 1
[admin@server ~]$ setsebool -P httpd_can_network_connect_db 1
āĻāĻŽāĻ°āĻž pgadmin4-āĻāĻ¯āĻŧā§āĻŦ āĻāĻ¯āĻŧā§āĻŦ āĻĒā§āĻˇā§āĻ āĻžāĻ¯āĻŧ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻŋ, āĻ¸āĻŦāĻāĻŋāĻā§ āĻāĻžāĻ āĻāĻ°ā§āĨ¤
āĻāĻ¤ā§āĻ¸: www.habr.com