Le regole SELinux sono applicate prima o dopo le autorizzazioni standard di Linux?

Quando SELinux è installato su un sistema, le sue regole vengono applicate prima o dopo le autorizzazioni standard di Linux? Ad esempio, se un utente Linux non root tenta di scrivere su un file con autorizzazione linux -rw------- root rootverranno prima controllati le regole SELinux o verranno applicate le autorizzazioni standard del filesystem e SELinux non verrà mai invocato?

— satur9nine
fonte

SELinux è disabilitato nel tuo elenco di esempi.

— Michael Hampton,

@MichaelHampton Non la penso così? Tuttavia, il lscomando usato per l'esempio non includeva -Z, ma l'output dell'esempio non mi fornisce informazioni sufficienti per vedere se SElinux è acceso o spento. Se ti riferisci a ciò che manca +nella maschera di bit, questo non è SElinux ma ACL del filesystem.

— jornane,

@jornane Mi riferisco ai dispersi .nell'elenco. Appare se SELinux è esecutivo o permissivo, sia che tu lo usi -Zo meno.

— Michael Hampton,

Ah, ho controllato su una macchina Linux non RHEL. Hai ragione, .non appare lì. Oggi ho imparato. :)

— jornane,

Vedo che i termini da cercare ora sono MAC e DAC. DAC è il sistema di autorizzazioni standard. MAC è il sistema utilizzato da SELinux.

La risposta per citare una fonte è:

È importante ricordare che le regole dei criteri SELinux sono controllate dopo le regole DAC. Le regole della politica SELinux non vengono utilizzate se le regole DAC negano prima l'accesso.

Questo diagramma mostra:

Riferimenti:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

— satur9nine
fonte