Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Zmiany w polityce SElinux

Data publikacji: 28-10-2015 Autor: Grzegorz Kuczyński

Skuteczność modułu bezpieczeństwa systemu Linux, jakim jest SELinux, bezpośrednio zależy od jego polityki. Jedną z najważniejszych koncepcji w tej polityce jest przejście pomiędzy domenami. Koncepcja ta pojawiła się jako wymóg spójności polityki do operacji wykonywanych w systemie operacyjnym.

System operacyjny nie pozwala użytkownikowi wykonywać bezpośrednio wielu operacji. Pozwala natomiast realizować je za pośrednictwem swoim bądź narzędzi do tego przeznaczonych. Jednym z takich narzędzi jest program passwd, który wykorzystamy w pierwszym przykładzie, a który pośredniczy w operacji zmiany hasła dostępowego.

> ZMIANA HASŁA DOSTĘPOWEGO

Operacja zmiany hasła wymaga wprowadzenia zmian m.in. w pliku shadow, do czego zwykły użytkownik nie ma uprawnień. Można to sprawdzić w następujący sposób:

# sesearch -A -s user_t -t shadow_t -c file -p write

Jedynym sposobem na zmianę hasła jest więc użycie programu passwd. Przyjrzyjmy się jego kontekstowi:

# ls -lZ /bin/passwd
-rwsr-xr-x. root root system_u:object_r:passwd_exec_t:s0 /bin/passwd

Z kontekstu można dowiedzieć się, że program (plik) jest typu passwd_exec_t. Z punktu widzenia technicznych wymagań systemu operacyjnego, aby uruchomić ten program, użytkownik
user_u typu user_t potrzebuje uzyskać prawa do odczytu i wykonania zawartości pliku w pamięci. Potwierdza to polityka SELinux:

# sesearch -A -s user_t -t passwd_exec_t -c file -p open,read,execute
Found 3 semantic av rules:
allow user_t application_exec_type : file { ioctl read getattr lock execute
execute_no_trans open } ;
allow user_t passwd_exec_t : file { read getattr execute open } ;
allow user_usertype application_exec_type : file { ioctl read getattr lock
execute execute_no_trans open } ;

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"