나는 알고있어의류구체적으로 어떻게 사용할 수 있는지한계파일 시스템 권한이 허용하는 경우 프로그램의 액세스 권한. 내가 확실하지 않은 것은 Apparmor 또는 유사한 보안 모듈이 프로그램의 액세스 권한을 완전히 무시할 수 있는지 여부입니다. 그들은 할수 있나승인하다사용자가 액세스할 수 없는 파일 읽기/쓰기/실행에 대한 프로그램 액세스입니다.
나는 기존 보안 모듈이 무엇을 하도록 구성할 수 있는지가 아니라 Linux 커널이 그러한 보안 모듈이 무엇을 할 수 있도록 허용하는지 묻고 있습니다.
보안 모듈이 Linux 커널의 액세스 모델을 완전히 무시할 수 있습니까?
답변1
이 내용은 언급되지 않은 것 같습니다.커널의 LSM 문서하지만 아니요, 보안 모듈은 커널의 액세스 모델을 완전히 무시할 수 없으며 이를 보완합니다.
예를 들어, 실행 전 확인 사항에는 다음 사항이 포함됩니다.do_open_execat, 권한을 확인합니다. LSM 후크는 나중에 호출됩니다( 검색 security_). 다른 예에는 다음의 모든 기능이 포함됩니다.fs/namei.c다음과 같은 호출 기능may_delete관련 LSM 후크 앞에.