気がついた装甲そして具体的にどのように活用できるか制限プログラムのアクセス権をファイルシステムの権限で許可する代わりに、プログラムのアクセス権を上書きする。私がよくわからないのは、Apparmorや同様のセキュリティモジュールがプログラムのアクセス権を完全に上書きできるかどうかだ。付与ユーザーがアクセスできないファイルの読み取り/書き込み/実行へのプログラム アクセス。
私が尋ねているのは、既存のセキュリティ モジュールを構成できる内容ではなく、Linux カーネルがそのようなセキュリティ モジュールに何を許可するかということです。
セキュリティ モジュールは Linux カーネルのアクセス モデルを完全に上書きできますか?
答え1
これは言及されていないようですカーネルのLSMドキュメントただし、セキュリティ モジュールはカーネルのアクセス モデルを完全に上書きすることはできず、それを補足するだけです。
例えば、実行前のチェックには次のようなものがあります。do_open_execatは権限をチェックします。LSMフックは後で呼び出されます( を参照security_)。他の例としては、fs/namei.c次のような関数を呼び出すmay_delete関連する LSM フックの前。