HackTrickstip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
容器中的SELinux
SELinux 是一个 标签 系统。每个 进程 和每个 文件 系统对象都有一个 标签。SELinux 策略定义了关于 进程标签可以对系统上所有其他标签执行的操作 的规则。
容器引擎以单个受限的 SELinux 标签启动 容器进程,通常为 container_t,然后将容器内部的容器设置为标签 container_file_t。SELinux 策略规则基本上表示 container_t 进程只能读取/写入/执行标记为 container_file_t 的文件。如果容器进程逃离容器并尝试写入主机上的内容,Linux 内核将拒绝访问,并仅允许容器进程写入标记为 container_file_t 的内容。
shell
$ podman run -d fedora sleep 100
d4194babf6b877c7100e79de92cd6717166f7302113018686cea650ea40bd7cb
$ podman top -l label
LABEL
system_u:system_r:container_t:s0:c647,c780
SELinux 用户
除了常规的 Linux 用户,还有 SELinux 用户。SELinux 用户是 SELinux 策略的一部分。每个 Linux 用户都映射到一个 SELinux 用户,作为策略的一部分。这允许 Linux 用户继承施加在 SELinux 用户上的限制和安全规则与机制。
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。