Apakah aturan SELinux diberlakukan sebelum atau setelah izin linux standar?

22

Ketika SELinux diinstal pada sistem, apakah aturannya diberlakukan sebelum atau setelah izin linux standar? Sebagai contoh jika pengguna linux non-root mencoba menulis ke file dengan izin linux -rw------- root rootakankah aturan SELinux diperiksa terlebih dahulu atau akankah izin sistem file standar berlaku dan SELinux tidak pernah dipanggil?

saturinnine
sumber
2
SELinux dinonaktifkan di cantuman contoh Anda.
Michael Hampton
@MichaelHampton, kurasa tidak? Namun, lsperintah yang digunakan untuk contoh tidak termasuk -Z, tetapi output contoh tidak memberi saya informasi yang cukup untuk melihat apakah SElinux aktif atau tidak. Jika Anda merujuk pada yang hilang +dalam bitmask, ini bukan SElinux tetapi sistem file ACL.
jornane
2
@Janeane Saya mengacu pada yang hilang .dalam daftar. Itu muncul jika SELinux memberlakukan atau permisif, apakah Anda menggunakan -Zatau tidak.
Michael Hampton
Ah, saya memeriksa di mesin Linux non-RHEL. Anda benar, .tidak muncul di sana. Hari ini saya belajar. :)
jornane

Jawaban:

30

Saya melihat istilah untuk mencari sekarang adalah MAC dan DAC. DAC adalah sistem izin standar. MAC adalah sistem yang digunakan oleh SELinux.

Jawaban untuk mengutip satu sumber adalah:

Penting untuk diingat bahwa aturan kebijakan SELinux diperiksa setelah aturan DAC. Aturan kebijakan SELinux tidak digunakan jika aturan DAC menolak akses terlebih dahulu.

Diagram ini menunjukkan:

selinux systemcall diagram integrasi

Referensi:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

saturinnine
sumber