¿Se aplican las reglas de SELinux antes o después de los permisos estándar de Linux?

22

Cuando SELinux se instala en un sistema, ¿se aplican sus reglas antes o después de los permisos estándar de Linux? Por ejemplo, si un usuario de Linux no root intenta escribir en un archivo con permiso de Linux, -rw------- root root¿se verificarán primero las reglas de SELinux o se aplicarán los permisos estándar del sistema de archivos y nunca se invocará SELinux?

satur9nine
fuente
2
SELinux está deshabilitado en su listado de ejemplo.
Michael Hampton
@MichaelHampton ¿No lo creo? Sin embargo, el lscomando utilizado para el ejemplo no incluyó -Z, pero la salida del ejemplo no me da suficiente información para ver si SElinux está activado o desactivado. Si se refiere a lo que falta +en la máscara de bits, esto no es SElinux sino ACL del sistema de archivos.
jornane
2
@jornane Me refiero a los desaparecidos .en el listado. Aparece si SELinux es obligatorio o permisivo, lo use -Zo no.
Michael Hampton
Ah, revisé una máquina Linux que no es RHEL. Tienes razón, .no aparece allí. Hoy aprendí. :)
jornane 01 de

Respuestas:

30

Veo que los términos para buscar ahora son MAC y DAC. DAC es el sistema de permisos estándar. MAC es el sistema utilizado por SELinux.

La respuesta para citar una fuente es:

Es importante recordar que las reglas de política de SELinux se verifican después de las reglas de DAC. Las reglas de política de SELinux no se usan si las reglas de DAC niegan el acceso primero.

Este diagrama muestra:

diagrama de integración de llamada al sistema selinux

Referencias

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

satur9nine
fuente