Почему httpd может читать файлы с меткой "httpd_sys_content_t" в SELinux?

Почему httpd может читать файлы с меткой “httpd_sys_content_t” в SELinux?

На чтение 3 мин Опубликовано 27.09.2024

Вопрос или проблема

Я использовал следующую команду для проверки связанных правил политики и нашел только следующие 2 связанных правила:

[root@system1 home]# sesearch -A -s httpd_t -t httpd_sys_content_t -ds -dt
разрешить httpd_t httpd_sys_content_t:dir { ioctl lock read };
разрешить httpd_t httpd_sys_content_t:lnk_file { getattr read };

Процессы в домене httpd_t могут только читать dir и lnk_file с тегом httpd_sys_content_t… Значит ли это, что в SELinux dir на самом деле содержит все файлы внутри него?

Я пытался найти определение “dir” в SELinux в интернете, но не смог ничего найти.

ОС: RHEL 9

Политика SELinux: Targeted

Ответ или решение

Чтобы понять, почему процесс httpd может читать файлы с тегом "httpd_sys_content_t" в SELinux, необходимо разобраться в механизмах управления доступом и политике безопасности SELinux.

Определение контекстов безопасности: В SELinux каждый файл и процесс имеют свой контекст безопасности, который состоит из трех частей: типа (type), роли (role), и уровня (level). В вашем случае, контекст файла имеет тип "httpd_sys_content_t", который означает, что это содержимое, доступное для веб-сервера Apache.
Контекст процесса: Процесс httpd работает в домене httpd_t, который имеет определенные права доступа к другим типам объектов, таким как файлы и каталоги. Это указано в политиках безопасности SELinux.
Правила доступа: Из вывода команды sesearch, который вы предоставили, видно, что имеются только два разрешения:
- allow httpd_t httpd_sys_content_t:dir { ioctl lock read };
- allow httpd_t httpd_sys_content_t:lnk_file { getattr read };
Это означает, что процесс httpd может выполнять операции ioctl, lock и read на директориях с типом httpd_sys_content_t, а также получать атрибуты и читать символические ссылки.
Роль директорий: В контексте SELinux, правило allow httpd_t httpd_sys_content_t:dir { ioctl lock read }; подразумевает, что httpd может читать содержимое директорий, помеченных как httpd_sys_content_t. Однако это не означает, что процесс httpd автоматически получает доступ ко всем файлам внутри этих директорий.

Чтобы процесс httpd мог читать файлы внутри директории, эти файлы также должны иметь правильный тип (в данном случае httpd_sys_content_t). Кроме того, доступ к файлам также может зависеть от других разрешений, таких как доступ к самим директориям, содержащим эти файлы.
Взаимодействие между файлами и директориями: Директория сама по себе является контейнером для файлов, но SELinux различает их по типам. Процесс httpd нуждается в соответствующих разрешениях как для директорий, так и для файлов, чтобы обеспечивать безопасность. Таким образом, если директория имеет тип httpd_sys_content_t и файл имеет тот же тип, httpd сможет его прочитать. Однако, если бы файл имел другой тип, процесс httpd не смог бы его прочитать, даже если он находится в директории с правильным типом.

В заключение, процесс httpd имеет возможность читать файлы с тегом "httpd_sys_content_t", поскольку его домен httpd_t обладает необходимыми разрешениями для выполнения операций с директориями и файлами, указываемыми в политике SELinux. Для доступа к содержимому директорий важно, чтобы все объекты (директории и файлы) имели соответствующие контексты безопасности.