È pericoloso mantenere le autorizzazioni 666 nel file membro su SELinux?

Question

È pericoloso mantenere le autorizzazioni 666 nel file membro su SELinux?

#1 da (1 voti)

1

Ho appena installato SELinux. Leggo molti tutorial ma non mi sento molto a mio agio con SELinux.

Nella pagina di aiuto di CentOS, vedo alcuni file in / selinux / sono scrivibili da altri utenti: link come membro file.

La prima cosa che ho detto a me stesso è che è pericoloso perché qualcuno che non ha permesso può modificare questi file. Ma ci ho provato, e non posso.

Penso che sia perché le etichette sono system_u: object_r: security_t: s0 e quando registro id -Z , il risultato è unconfined_u: unconfined_u: unconfined_u : s0-s0: c0.c1023

È perché sono in un contesto unconfined_u che non riesco a scrivere in questo file? Non è pericoloso mantenere il permesso 666? Se quello che ho detto non è corretto, puoi spiegarmi perché? Grazie.

linux permissions unix selinux centos

posta 28.11.2018 - 15:33

fonte

1 risposta

Leggi altre domande sui tag linux permissions unix selinux centos

I nodi botnet sono costretti a smettere di lavorare durante l'orario d'ufficio? Vulnerabilità interne di HTTP (s)

score 1 · Accepted Answer

I contesti di SELinux vengono in aggiunta a permessi e proprietà. Per accedere a un file, un processo deve avere i privilegi dati dalla proprietà e per passare i controlli effettuati da SELinux. Per fare un esempio estremo, è possibile creare una radice account (ID utente 0) su una macchina in cui SELinux confina questo account così tanto da non poter utilizzare i privilegi di root per qualsiasi cosa . Un file con permessi 666 ma un contesto SELinux che impedisce l'accesso è perfettamente sicuro.

Questo non significa che affidarsi esclusivamente a SELinux per controllare l'accesso è privo di rischi. Va perfettamente bene fino a quando il file non viene modificato, ma se il file viene modificato, copiato, sottoposto a backup o comunque influenzato da uno strumento che non supporta SELinux, il contesto di SELinux potrebbe andare perduto. Inoltre SELinux è notoriamente difficile da configurare correttamente; le autorizzazioni sono molto più facili da comprendere e controllare. Dovresti trattarlo come una seconda linea di difesa.

Nel caso di /selinux , è un filesystem speciale che espone informazioni e controlli relativi alla configurazione di SELinux. È progettato e popolato dalle persone che fanno SELinux, quindi il rischio che non sia configurato correttamente è molto basso. Non verrà eseguito il backup o la modifica. Quindi i rischi di mancanza di supporto o errata configurazione di SELinux non si applicano. /selinux è parte di come SELinux funziona e non è pericoloso.