Les règles SELinux sont-elles appliquées avant ou après les autorisations Linux standard?

Lorsque SELinux est installé sur un système, ses règles sont-elles appliquées avant ou après les autorisations Linux standard? Par exemple, si un utilisateur linux non root essaie d'écrire dans un fichier avec l'autorisation linux -rw------- root root, les règles SELinux seront-elles vérifiées en premier ou les autorisations standard du système de fichiers s'appliqueront-elles et SELinux ne sera jamais invoqué?

— satur9nine
source

SELinux est désactivé dans votre liste d'exemples.

— Michael Hampton

@MichaelHampton Je ne pense pas? Cependant, la lscommande utilisée pour l'exemple ne comprenait pas -Z, mais la sortie de l'exemple ne me donne pas suffisamment d'informations pour voir si SElinux est activé ou désactivé. Si vous faites référence aux éléments manquants +dans le masque de bits, il ne s'agit pas de SElinux mais des ACL du système de fichiers.

— jornane

@jornane Je fais référence aux disparus .dans la liste. Il apparaît si SELinux est contraignant ou permissif, que vous l'utilisiez -Zou non.

— Michael Hampton

Ah, j'ai vérifié sur une machine Linux non RHEL. Tu as raison, .n'y apparaît pas. Aujourd'hui j'ai appris. :)

— jornane

Je vois que les termes à rechercher maintenant sont MAC et DAC. DAC est le système d'autorisation standard. MAC est le système utilisé par SELinux.

La réponse pour citer une source est:

Il est important de se rappeler que les règles de politique SELinux sont vérifiées après les règles DAC. Les règles de stratégie SELinux ne sont pas utilisées si les règles DAC refusent d'abord l'accès.

Ce diagramme montre:

Les références:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

— satur9nine
source