¿Es peligroso mantener los permisos en 666 para el archivo de miembros en SELinux?

Question

¿Es peligroso mantener los permisos en 666 para el archivo de miembros en SELinux?

#1 de Gilles (1 votos)

1

Acabo de instalar SELinux. Leo muchos tutoriales pero no estoy muy cómodo con SELinux.

En la página de ayuda de CentOS, puedo ver que algunos archivos en "/ selinux / son escribibles por otro usuario: enlace como miembro .

Lo primero que me dije a mí mismo es que es peligroso porque alguien que no lo permite puede modificar estos archivos. Pero lo intenté, y no puedo.

Creo que es porque las etiquetas son system_u: object_r: security_t: s0 y cuando grabo id -Z , el resultado es unconfined_u: unconfined_u: unconfined_u : s0-s0: c0.c1023

¿Es porque estoy en el contexto de unconfined_u que no puedo escribir en este archivo? ¿No es peligroso quedarse con el permiso 666? Si lo que dije es incorrecto, ¿puedes explicarme por qué? Gracias.

linux unix permissions selinux centos

pregunta Steven T. Kohler 28.11.2018 - 15:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas linux unix permissions selinux centos

Detectar si un agente está escuchando mensajes específicos ¿Qué hacer con respecto a la vulnerabilidad en un producto SaaS que compro?

score 1 · Accepted Answer

Los contextos SELinux vienen además de los permisos y la propiedad. Para acceder a un archivo, un proceso debe tener los privilegios otorgados por la propiedad y para pasar los controles realizados por SELinux. Para tomar un ejemplo extremo, es posible crear una raíz cuenta (ID de usuario 0) en una máquina donde SELinux confina esta cuenta tanto que no puede hacer uso de los privilegios de root para nada . Un archivo con permisos 666 pero un contexto SELinux que impide el acceso es perfectamente seguro.

Esto no significa que depender únicamente de SELinux para controlar el acceso sea seguro. Está perfectamente bien siempre y cuando el archivo no se modifique, pero si el archivo se edita, se copia, se respalda o si se ve afectado por una herramienta que no es compatible con SELinux, el contexto de SELinux podría perderse. Además, SELinux es notoriamente difícil de configurar correctamente; Los permisos son mucho más fáciles de entender y auditar. Debe tratarlo como una segunda línea de defensa.

En el caso de /selinux , es una sistema de archivos especial que expone información y controles relacionados con la configuración de SELinux. Está diseñado y poblado por las personas que hacen SELinux, por lo que el riesgo de que esté mal configurado es muy bajo. No va a ser respaldado o editado. Por lo tanto, no se aplican los riesgos de falta de soporte o configuración incorrecta de SELinux. /selinux es parte de cómo funciona SELinux y no es peligroso.