SELinux u kontejnerima

Uvod i primer iz redhat dokumenata

SELinux je sistem označavanja. Svaki proces i svaki objekat u sistemu datoteka ima označavanje. SELinux politike definišu pravila o tome šta označavanje procesa može da radi sa svim ostalim oznakama u sistemu.

Kontejnerski alati pokreću kontejnerske procese sa jednim ograničenim SELinux oznakom, obično container_t, a zatim postavljaju kontejner unutar kontejnera da bude označen kao container_file_t. Pravila SELinux politike u suštini kažu da container_t procesi mogu samo da čitaju/pisu/izvršavaju datoteke označene kao container_file_t. Ako kontejnerski proces pobegne iz kontejnera i pokuša da piše u sadržaj na hostu, Linux kernel odbija pristup i dozvoljava kontejnerskom procesu da piše samo u sadržaj označen kao container_file_t.

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

SELinux korisnici

Postoje SELinux korisnici pored redovnih Linux korisnika. SELinux korisnici su deo SELinux politike. Svaki Linux korisnik je mapiran na SELinux korisnika kao deo politike. Ovo omogućava Linux korisnicima da naslede ograničenja i sigurnosna pravila i mehanizme postavljene na SELinux korisnike.

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %} {% endhint %}

3.7 KiB Raw Blame History

SELinux u kontejnerima

SELinux korisnici

3.7 KiB

Raw Blame History