Мне нужно создать модуль для новой программы или просто использовать существующую?

Мы разрабатываем программу, которая будет работать на изображении CentOS. Эта программа очень важна для нас, поэтому нам нужно, чтобы она работала в очень безопасном контексте.

Итак, я думал об использовании SELinux для его защиты. Я просматривал документацию по SELinux, но есть кое-что, что я не уверен, что понимаю. Нужно ли мне создавать новый модуль для нашей пользовательской программы или я могу использовать один из существующих?

One Solution collect form web for “Мне нужно создать модуль для новой программы или просто использовать существующую?”

Вы можете создать модуль политики SELinux для своей программы. Вы не можете просто взять существующую, потому что она будет упоминать пути к другой программе, к различным файлам конфигурации, к различным файлам данных и т. Д. Но вы можете взять существующий модуль для программы с аналогичными требованиями и адаптировать ее. Не забудьте изменить имена для любых типов, атрибутов и т. Д., Так как использование разных имен делает программы SELinux изолированными.

Учитывая формулировку вашего вопроса, я не уверен, понимаете ли вы, как работает SELinux. Определение модуля SELinux для вашей программы в основном ограничивает вашу программу. Он защищает остальную часть системы от вашей программы, а не наоборот. Правила SELinux применяются к другим программам, которые защищают активы вашей программы. Ваш политический модуль защищает вашу программу, поскольку он назначает ограничительный контекст для ресурсов вашей программы (файлы конфигурации и данных).

  • Как я могу защитить метки SELinux от изменения?
  • Ход взлома, процесс выполняется под пользователем apache
  • Как заставить SELinux предотвращать чтение Apache / HTTPD определенных файлов
  • SELinux запрещает использовать ACPI / udev для использования sudo
  • Скрыть процессы от других пользователей на основе групп (под Linux)?
  • Можно ли удалить все права на запись в оболочке для текущего пользователя
  • chcon не может исправить «невозможно включить исполняемый стек, поскольку требуется общий объект» err в RHEL6
  • selinux, dovecot и сито
  • SELinux: Как вы предоставляете доступ к нескольким процессам в каталог / mnt / foo?
  • SELinux: определение каталога отказавшего файла
  • Scientific Linux 6.3 запускает evince в песочнице SELinux
  • Linux и Unix - лучшая ОС в мире.