알아요아파모어구체적으로 어떻게 사용하는지한계파일 시스템 권한으로 프로그램 액세스가 허용됩니다. 확실하지 않은 것은 Apparmor 또는 유사한 보안 모듈이 프로그램의 액세스 권한을 완전히 무시할 수 있는지 여부입니다. 그들은 할수 있나승인하다프로그램은 사용자가 액세스할 수 없는 파일 읽기/쓰기/실행에 액세스할 수 있습니다.
나는 기존 보안 모듈이 무엇을 하도록 구성할 수 있는지가 아니라 Linux 커널이 그러한 보안 모듈이 무엇을 할 수 있도록 허용하는지 묻고 있습니다.
보안 모듈이 Linux 커널의 액세스 모델을 완전히 재정의할 수 있습니까?
답변1
이 내용은 언급되지 않은 것 같습니다커널에 대한 LSM 문서, 그러나 아니요, 보안 모듈은 커널의 액세스 모델을 완전히 포함하지 않으며 커널을 보완합니다.
예를 들어 실행 전 검사에는 다음이 포함됩니다.do_open_execat, 권한을 확인하세요. LSM 후크는 나중에 호출됩니다(조회 security_). 다른 예에는 다음의 모든 기능이 포함됩니다.fs/namei.c호출 기능은 다음과 같습니다may_delete관련 LSM 후크 앞에.