Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Zmiany w polityce SElinux

Data publikacji: 28-10-2015 Autor: Grzegorz Kuczyński

Skuteczność modułu bezpieczeństwa systemu Linux, jakim jest SELinux, bezpośrednio zależy od jego polityki. Jedną z najważniejszych koncepcji w tej polityce jest przejście pomiędzy domenami. Koncepcja ta pojawiła się jako wymóg spójności polityki do operacji wykonywanych w systemie operacyjnym.

System operacyjny nie pozwala użytkownikowi wykonywać bezpośrednio wielu operacji. Pozwala natomiast realizować je za pośrednictwem swoim bądź narzędzi do tego przeznaczonych. Jednym z takich narzędzi jest program passwd, który wykorzystamy w pierwszym przykładzie, a który pośredniczy w operacji zmiany hasła dostępowego.

> ZMIANA HASŁA DOSTĘPOWEGO

Operacja zmiany hasła wymaga wprowadzenia zmian m.in. w pliku shadow, do czego zwykły użytkownik nie ma uprawnień. Można to sprawdzić w następujący sposób:

# sesearch -A -s user_t -t shadow_t -c file -p write

Jedynym sposobem na zmianę hasła jest więc użycie programu passwd. Przyjrzyjmy się jego kontekstowi:

# ls -lZ /bin/passwd
-rwsr-xr-x. root root system_u:object_r:passwd_exec_t:s0 /bin/passwd

Z kontekstu można dowiedzieć się, że program (plik) jest typu passwd_exec_t. Z punktu widzenia technicznych wymagań systemu operacyjnego, aby uruchomić ten program, użytkownik
user_u typu user_t potrzebuje uzyskać prawa do odczytu i wykonania zawartości pliku w pamięci. Potwierdza to polityka SELinux:

# sesearch -A -s user_t -t passwd_exec_t -c file -p open,read,execute
Found 3 semantic av rules:
allow user_t application_exec_type : file { ioctl read getattr lock execute
execute_no_trans open } ;
allow user_t passwd_exec_t : file { read getattr execute open } ;
allow user_usertype application_exec_type : file { ioctl read getattr lock
execute execute_no_trans open } ;

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"