O que são os rótulos de segurança EXT4?

Question

O que são os rótulos de segurança EXT4?

#1 resposta do (3 votos)

6

Durante a instalação do Gentoo no chaveiro do Gnome, me disseram para ativar o EXT4 Security Labels, que é descrito na documentação do kernel por:

Security labels support alternative access control models implemented by security modules like SELinux. This option enables an extended attribute handler for file security labels in the ext4 filesystem.

Essa documentação não é de grande ajuda, pois agora entendo que ela habilita um manipulador de atributos que, por sua vez, habilita rótulos de segurança para sistemas de arquivos ext4. Eu poderia ter deduzido isso do nome do recurso. Quais são esses rótulos? Como eles melhoram a segurança?

ext4 security kernel-modules linux

por qdii 27.10.2012 / 07:32

1 resposta

Tags ext4 security kernel-modules linux

Firewall Descomplicado (UFW) e UPNP StackExchange com Elinks

score 3 · Answer 1

Os rótulos de segurança são uma indicação SELinux precisa fazer o seu trabalho. Pense neles como uma generalização muito grande das permissões e propriedade de arquivos. É o SELinux que melhora a segurança, não os rótulos de segurança em si.

Etiquetas de segurança são metadados associados a arquivos. Eles têm o formato user:role:type[:level[:category]] . Para comparação, as permissões tradicionais do Unix têm o formato user:group rwxrwxrwx . O rótulo de segurança em um arquivo especifica seu contexto do SELinux.

Os usuários do SELinux correspondem a diferentes componentes do sistema que podem ter permissões diferentes. Eles podem corresponder a usuários do sistema Linux, mas esse é o caso dos usuários do sistema: é comum que todos os usuários reais sejam agrupados em um único usuário do SELinux.
As funções correspondem a uma classe de ações que uma classe de usuários pode executar. Eles são usados para implementar o controle de acesso baseado em função .
Os tipos correspondem a uma ação ou recurso específico (ou conjunto deles) cujo acesso é restrito.
Os níveis implementam segurança em vários níveis .
As categorias implementam segurança de várias categorias .

Os processos em execução possuem um contexto de segurança que é calculado a partir do rótulo de segurança no executável e no contexto do chamador. Os arquivos também têm um contexto de segurança que é calculado a partir de sua etiqueta de segurança. Quando um assunto (processo) tenta acessar um objeto (arquivo), o kernel verifica se a política do SELinux permite que o contexto do sujeito acesse o objeto.

Escrever uma política do SELinux é muito complexo se você quiser permitir que você realmente execute o sistema, muito menos forneça segurança adicional. É por isso que muitos sistemas Linux não adotaram o SELinux no modo de execução.

Para mais informações, consulte:

A página do projeto SELinux e, em particular, o contexto de segurança página
O Manual do SELinux do Gentoo e, em particular, Conceitos do SELinux
Contexto de segurança na wiki do Fedora
Contextos de segurança do sistema de arquivos no RHEL SELinux orientar