我知道阿帕莫爾以及具體如何使用它限制檔案系統權限允許的程式存取權限。我不太清楚的是 Apparmor 或任何類似的安全模組是否可以完全覆蓋程式的存取權。他們可以嗎授予程式可以存取使用者無法存取的讀/寫/執行檔。
我問的是 Linux 核心將允許這樣的安全模組做什麼,而不是現有的安全模組可以配置做什麼。
安全模組可以完全覆蓋Linux核心的存取模型嗎?
答案1
這似乎沒有提到內核的 LSM 文檔,但是不,安全模組不能完全覆蓋內核的存取模型,它們是對其的補充。
例如,執行前的檢查包括do_open_execat,檢查權限; LSM 掛鉤稍後會被呼叫(查找security_)。其他範例包括中的所有功能fs/namei.c其中呼叫函數如下may_delete在相關的 LSM 掛鉤之前。