SELinux: запуск бинарного файла пользовательской оболочки из /etc/passwd
Вы можете попробовать:
strace -fe open cmd 2>&1 >/dev/null | grep -v '= -1' | cut -d\" -f2
Чтобы увидеть, что открывается во время выполнения.
4
np08
29.05.2019, 18:06
Ссылка
1 ответ
Здесь есть два аспекта, я рассмотрю первый аспект:
- метка /bin/myshell тип оболочки _exec _t :echo ' (filecon "/usr/bin/myshell" файл (system _u объект _r shell _exec _t ((s0 )(s0 ))))' > myshell.cil && semodule -и myshell.cil
- создать и связать пользователя joe с существующим пользователем _ограниченный домен оболочки t :useradd -Z пользователь _u joe
ssh joe@localhost 'id -Z'
Создание новых ограниченных пользователей немного сложнее, но суть в том, что программы входа в систему, такие как sshd,login и т. д. используйте pam _selinux для определения контекста запуска оболочки входа в систему, и они переходят вручную, а не автоматически. Файлы в /etc/selinux/TYPE/contexts/users/ используются для этого среди других файлов в /etc/selinux/TYPE/contexts
1
dac.override
27.01.2020, 21:01
Ссылка