SELinux 规则是在标准 Linux 权限之前还是之后执行?

tag-icon tag-icon files permissions selinux access-control
SELinux 规则是在标准 Linux 权限之前还是之后执行?

当 SELinux 安装在系统上时,其规则是在标准 Linux 权限之前还是之后执行?例如,如果非 root linux 用户尝试写入具有 linux 权限的文件,-rw------- root root是否会首先检查 SELinux 规则,还是会应用标准文件系统权限并且永远不会调用 SELinux?

答案1

我看到现在要搜索的术语是 MAC 和 DAC。 DAC是标准的权限系统。 MAC是SELinux使用的系统。

引用一位消息来源的答案是:

请务必记住,SELinux 策略规则是在 DAC 规则之后检查的。如果 DAC 规则首先拒绝访问,则不会使用 SELinux 策略规则。

该图显示:

selinux系统调用集成图

参考:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

相关内容