SELinux in Containers

Inleiding en voorbeeld uit die redhat dokumentasie

SELinux is 'n etikettering stelsel. Elke proses en elke lêer stelselaanwyser het 'n etiket. SELinux-beleide definieer reëls oor wat 'n proses etiket mag doen met al die ander etikette op die stelsel.

Container-enjins begin container prosesse met 'n enkele beperkte SELinux etiket, gewoonlik container_t, en stel dan die container binne die container in om geëtiketteer te word as container_file_t. Die SELinux-beleid reëls sê basies dat die container_t prosesse slegs lêers geëtiketteer as container_file_t kan lees/skryf/uitvoer. As 'n container proses die container ontsnap en probeer om na inhoud op die gasheer te skryf, weier die Linux-kern toegang en laat slegs die container proses toe om na inhoud geëtiketteer as container_file_t te skryf.

shell

$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780

SELinux Gebruikers

Daar is SELinux gebruikers benewens die gewone Linux gebruikers. SELinux gebruikers is deel van 'n SELinux beleid. Elke Linux gebruiker is aan 'n SELinux gebruiker gekoppel as deel van die beleid. Dit stel Linux gebruikers in staat om die beperkings en sekuriteitsreëls en -meganismes wat op SELinux gebruikers geplaas is, te erf.

tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.