/proc/pid/attr/ - atribute legate de securitate
- /proc/pid/attr/
- Fișierele din acest director oferă o interfață
API pentru modulele de securitate. Conținutul acestui director sunt
fișiere care pot fi citite și scrise pentru a stabili
atribute legate de securitate. Acest director a fost adăugat pentru
a asigura suport pentru SELinux, dar intenția a fost ca API-ul
să fie suficient de general pentru a asigura suport pentru alte
module de securitate. În scopul explicării, mai jos sunt
furnizate exemple ale modului în care SELinux utilizează
aceste fișiere.
- Acest director este prezent numai dacă nucleul a fost configurat cu
CONFIG_SECURITY.
- /proc/pid/attr/current (începând cu Linux
2.6.0)
- Conținutul acestui fișier reprezintă atributele
actuale de securitate ale procesului.
- În SELinux, acest fișier este utilizat pentru a
obține contextul de securitate al unui proces. Înainte de
Linux 2.6.11, acest fișier nu putea fi utilizat pentru a stabili
contextul de securitate (o scriere era întotdeauna
refuzată), deoarece SELinux limita tranzițiile de securitate
ale proceselor la execve(2) (a se vedea descrierea
/proc/pid/attr/exec, mai jos). Începând cu
Linux 2.6.11, SELinux a eliminat această restricție
și a început să ofere suport pentru operațiile
„set” prin intermediul scrierilor în acest nod,
dacă sunt autorizate de politică, deși utilizarea
acestei operații este adecvată numai pentru
aplicațiile care sunt de încredere pentru a menține
orice separare dorită între vechiul și noul context
de securitate.
- Înainte de Linux 2.6.28, SELinux nu permitea firelor dintr-un
proces cu mai multe fire să își stabilească
contextul de securitate prin intermediul acestui nod, deoarece acest lucru
ar produce o inconsecvență între contextele de
securitate ale firelor care împart același spațiu de
memorie. Începând cu Linux 2.6.28, SELinux a eliminat
această restricție și a început să
ofere suport pentru operațiile „set” pentru firele de
execuție din cadrul unui proces cu mai multe fire de
execuție dacă noul context de securitate este delimitat de
vechiul context de securitate, unde relația delimitată este
definită în politică și garantează
că noul context de securitate are un subset de permisiuni ale
vechiului context de securitate.
- Alte module de securitate pot alege să ofere suport pentru
operațiile „set” prin scrierea în acest
nod.
- /proc/pid/attr/exec (începând cu Linux
2.6.0)
- Acest fișier reprezintă atributele care urmează
să fie atribuite procesului la o execve(2)
ulterioară.
- În SELinux, acest lucru este necesar pentru a gestiona
tranzițiile de rol/domeniu, iar execve(2) este punctul
preferat pentru a efectua astfel de tranziții deoarece oferă
un control mai bun asupra inițializării procesului în
noua etichetă de securitate și asupra moștenirii
stării. În SELinux, acest atribut este reinițializat
în execve(2), astfel încât noul program revine
la comportamentul implicit pentru orice apel execve(2) pe care
îl poate efectua. În SELinux, un proces își
poate stabili numai propriul atribut
/proc/pid/attr/exec.
- /proc/pid/attr/fscreate (începând cu Linux
2.6.0)
- Acest fișier reprezintă atributele care trebuie atribuite
fișierelor create prin apeluri ulterioare la open(2),
mkdir(2), symlink(2) și mknod(2)
- SELinux utilizează acest fișier pentru a asigura suportul
creării unui fișier (utilizând apelurile de sistem
menționate anterior) într-o stare sigură, astfel
încât să nu existe riscul obținerii unui acces
necorespunzător între momentul creării și
momentul în care sunt stabilite atributele. În SELinux,
acest atribut este restabilit în execve(2), astfel
încât noul program revine la comportamentul implicit pentru
toate apelurile de creare a fișierelor pe care le poate efectua,
dar atributul va persista în mai multe apeluri de creare a
fișierelor în cadrul unui program, cu excepția
cazului în care este restabilit în mod explicit. În
SELinux, un proces își poate stabili doar propriul atribut
/proc/pid/attr/fscreate.
- /proc/pid/attr/keycreate (începând cu Linux
2.6.18)
- Dacă un proces scrie un context de securitate în acest
fișier, toate cheile create ulterior (add_key(2)) vor fi
etichetate cu acest context. Pentru informații suplimentare,
consultați fișierul sursă al nucleului
Documentation/security/keys/core.rst (sau fișierul
Documentation/security/keys.txt între Linux 3.0 și
Linux 4.13, sau Documentation/keys.txt înainte de Linux
3.0).
- /proc/pid/attr/prev (începând cu Linux
2.6.0)
- Acest fișier conține contextul de securitate al procesului
înainte de ultimul execve(2); adică, valoarea
anterioară a /proc/pid/attr/current.
- /proc/pid/attr/socketcreate (începând cu Linux
2.6.18)
- Dacă un proces scrie un context de securitate în acest
fișier, toate soclurile create ulterior vor fi etichetate cu acest
context.
Traducerea în limba română a acestui manual a
fost făcută de Remus-Gabriel Chelu
<remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită;
citiți
Licența
publică generală GNU Versiunea 3 sau o versiune
ulterioară cu privire la condiții privind drepturile de autor.
NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea
acestui manual, vă rugăm să trimiteți un e-mail
la
translation-team-ro@lists.sourceforge.net.