Как читать / изменять контекст SELinux на смонтированном изображении ext4 из системы, отличной от SELinux?

У меня есть система Linux (Arch Linux) без поддержки SELinux. Я не хотел бы настраивать такую ​​поддержку в своей системе. Теперь у меня есть образ тома ext4, который, как известно, имеет некоторый контекст SELinux, установленный в его файлах. Мне нужно прочитать и изменить этот контекст для определенных файлов. Когда я монтирую это изображение и ls -lZ это, я получаю ? вместо контекста.

Как мне получить доступ и изменить контекст SELinux для файлов, если у меня нет SELinux включен в системе? Если это невозможно, то какая минимальная конфигурация SELinux, которая не будет влиять на общую систему, но позволит мне изменять контексты внутри смонтированного изображения?

One Solution collect form web for “Как читать / изменять контекст SELinux на смонтированном изображении ext4 из системы, отличной от SELinux?”

Контекст SELinux хранится в расширенных атрибутах файла ( xattr , man 5 attr ). Инструменты для работы с ними доступны в пакете core/attr .

Атрибуты, включая контекст SELinux, могут быть получены с помощью getfattr . Однако есть оговорка: по умолчанию getfattr перечисляет только атрибуты от user. Пространство имен; и атрибут selinux нам нужен, – это пространство имен security . Поэтому нам нужно передать параметр -m - для запроса атрибутов для всех пространств имен ( -d – значения дампа, а также имена):

 $ getfattr -m - -d bin/sh # file: bin/sh security.selinux="u:object_r:system_file:s0" 

Чтобы изменить контекст selinux, я использовал инструмент setfattr , который требовал привилегий root:

 $ sudo setfattr -n security.selinux -vu:object_r:shell_exec:s0 bin/sh $ getfattr -m - -d bin/sh # file: bin/sh security.selinux="u:object_r:shell_exec:s0" 
  • Как отключить SELinux без перезагрузки?
  • Можно ли использовать chcon для сужения selinux, чтобы быть менее безопасным, чем установка selinux в разрешающую?
  • Эти сообщения SELinux наводят на мысль о вторжении?
  • Проблема с запуском «selinux sandbox» с java
  • Как я могу защитить метки SELinux от изменения?
  • Я хочу разрешить пользователю запускать * только * утилиту ping с использованием SELinux
  • SELinux: Как вы предоставляете доступ к нескольким процессам в каталог / mnt / foo?
  • SELinux предотвращает / opt / google / chrome / chrome-sandbox от доступа на запись в каком файле?
  • Как изменить тип сервиса хорошо определенных портов в SElinux (centOS 6.5)
  • Как пометить вновь созданный файл с помощью «system_u»?
  • Как предотвратить процесс записи файлов
  • Linux и Unix - лучшая ОС в мире.