/proc/pid/attr/ - Attributs relatifs à la
sécurité
- /proc/pid/attr/
- Les fichiers dans ce répertoire fournissent une API pour des
modules de sécurité. Le contenu de ce répertoire se
compose de fichiers pouvant être lus et édités dans
le but de définir des attributs relatifs à la
sécurité. Ce répertoire a été
ajouté pour prendre en charge SELinux, mais l’intention
était que l’API soit suffisamment générale
pour prendre en charge d’autres modules de sécurité.
Dans un but explicatif, des exemples d'utilisation de ces fichiers par
SELinux sont fournis ci-après.
- Ce répertoire n’est présent que si le noyau est
configuré avec l'option CONFIG_SECURITY.
- /proc/pid/attr/current (depuis Linux 2.6.0)
- Le contenu de ce fichier correspond aux attributs de
sécurité actuels du processus.
- Dans SELinux, ce fichier est utilisé pour obtenir le contexte de
sécurité d’un processus. Avant Linux 2.6.11,
ce fichier ne pouvait pas être utilisé pour définir
le contexte de sécurité (une écriture était
toujours refusée) puisque SELinux limitait les transitions de
sécurité de processus à execve(2) (consulter
la description de /proc/pid/attr/exec ci-après).
Depuis Linux 2.6.11, SELinux a levé cette restriction et a
commencé à prendre en charge les opérations
« set » à travers des écritures
sur ce nœud si la politique l’autorise, bien que cette
opération ne soit adaptée qu’aux applications qui
sont fiables pour l’entretien de toute séparation
désirée entre les anciens et nouveaux contextes de
sécurité.
- Avant Linux 2.6.28, SELinux ne permettait pas que les threads dans
un processus multithread définissent leur contexte de
sécurité à l’aide de ce nœud car cela
pouvait amener une incohérence parmi les contextes de
sécurité des threads partageant le même espace
mémoire. Depuis Linux 2.6.28, SELinux a levé cette
restriction et a commencé à prendre en charge les
opérations « set » pour les threads
dans un processus multithread si le nouveau contexte de
sécurité est lié à l’ancien contexte de
sécurité et où la relation de liaison est
définie dans la politique et garantit que le nouveau contexte de
sécurité possède un sous-ensemble des permissions de
l’ancien contexte de sécurité.
- D’autres modules de sécurité peuvent décider
de prendre en charge les opérations
« set » à l’aide
d’écritures dans ce nœud.
- /proc/pid/attr/exec (depuis Linux 2.6.0)
- Ce fichier décrit les attributs à assigner au processus lors
d’un prochain execve(2).
- Dans SELinux, cela est nécessaire pour prendre en charge les
transitions de rôle ou de domaine et un execve(2) est la
fonction préférée pour réaliser de telles
transitions parce qu’elle offre un meilleur contrôle sur
l’initialisation du processus dans le nouveau contexte de
sécurité et dans l’héritage
d’état. Dans SELinux, cet attribut est redéfini lors
d’un execve(2) de façon que le nouveau programme
revienne au comportement par défaut pour tout appel
execve(2) qu’il peut provoquer. Dans SELinux, un processus
peut définir seulement son propre attribut
/proc/pid/attr/exec.
- /proc/pid/attr/fscreate (depuis Linux 2.6.0)
- Ce fichier décrit les attributs à assigner aux fichiers
créés par des appels subséquents à
open(2), mkdir(2), symlink(2) et mknod(2)
- SELinux utilise ce fichier pour prendre en charge la création
d’un fichier (en utilisant les appels système
précédemment mentionnés) dans un état
sécurisé, de façon à éviter tout risque
d’accès inapproprié obtenu entre le moment de la
création et le moment où les attributs sont définis.
Dans SELinux, cet attribut est redéfini lors d’un
execve(2), de façon que le nouveau programme revienne au
comportement par défaut pour tout appel de création de
fichier qu’il peut provoquer, mais l’attribut persiste
à travers plusieurs appels de création de fichier dans un
programme à moins qu’il ne soit explicitement
redéfini. Dans SELinux, un processus peut seulement définir
son propre attribut /proc/pid/attr/fscreate.
- /proc/pid/attr/keycreate (depuis Linux 2.6.18)
- Si un processus écrit un contexte de sécurité dans ce
fichier, toutes les clés créées par la suite
(add_key(2)) seront étiquetées avec ce contexte. Pour
de plus amples informations, consulter le fichier source du noyau
Documentation/security/keys/core.rst (ou le fichier
Documentation/security/keys.txt entre Linux 3.0 et
Linux 4.13 ou Documentation/keys.txt avant
Linux 3.0).
- /proc/pid/attr/prev (depuis Linux 2.6.0)
- Ce fichier contient le contexte de sécurité du processus
avant le dernier execve(2), c’est-à-dire la valeur
précédente de /proc/pid/attr/current.
- /proc/pid/attr/socketcreate (depuis Linux 2.6.18)
- Si un processus écrit un contexte de sécurité dans ce
fichier, tous les sockets créés par la suite seront
étiquetés avec ce contexte.
La traduction française de cette page de manuel a
été créée par Christophe Blaess
<https://www.blaess.fr/christophe/>, Stéphan Rafin
<stephan.rafin@laposte.net>, Thierry Vignaud
<tvignaud@mandriva.com>, François Micaux, Alain Portal
<aportal@univ-montp2.fr>, Jean-Philippe Guérard
<fevrier@tigreraye.org>, Jean-Luc Coulon (f5ibh)
<jean-luc.coulon@wanadoo.fr>, Julien Cristau
<jcristau@debian.org>, Thomas Huriaux
<thomas.huriaux@gmail.com>, Nicolas François
<nicolas.francois@centraliens.net>, Florentin Duneau
<fduneau@gmail.com>, Simon Paillard
<simon.paillard@resel.enst-bretagne.fr>, Denis Barbier
<barbier@debian.org>, David Prévot <david@tilapin.org>,
Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr> et Lucien Gentis
<lucien.gentis@waika9.com>
Cette traduction est une documentation libre ; veuillez
vous reporter à la
GNU General
Public License version 3 concernant les conditions de copie et de
distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
Si vous découvrez un bogue dans la traduction de cette page
de manuel, veuillez envoyer un message à
debian-l10n-french@lists.debian.org.