我有一个简单的问题。
我会关闭SELinux进行开发。当我认真地开始考虑使用它时,我想,那很好。它可以将应用程序限制在某些工作中。
但是,当攻击者获得root shell时,这仍然有效吗?
我的意思是root可以简单地将其关闭。
答案 0 :(得分:1)
是的,即使攻击者获得具有“root”权限的shell,SELinux仍然有效。原因是shell将与受损进程的SELinux安全上下文相关联。
如果安全策略正确地将父进程限制在其自己的域中,则两个进程(父进程和子进程)将仅具有为父进程的任务提供的SELinux权限。即使使用“root”DAC权限,子进程(shell)也将被限制。
答案 1 :(得分:0)
我认为这有助于您自己理解并回答您的问题:
SELinux以下列方式拒绝访问:首先检查 DAC ,如果安全上下文的所有内容都正常,则 SELinux Policies 将适用。
由于root拥有的安全上下文,DAC通常不会拒绝root访问。但是根据设计,SELinux使用与需要访问控制评估的不同内核操作或资源相关联的 hooks 。这些钩子是内核代码的一部分,root和其他用户一样,直接或间接地调用内核函数,并且使用它们,相应的SELinux钩子被触发并执行。他们甚至可以拒绝访问root。
是的,成为root允许您完全禁用SELinux。哎呀,它甚至允许你重建内核并添加,删除或修改SELinux和内核本身的功能......所以成为root不仅会使SELinux失效,而且会使整个内核失效。