table of contents
proc_pid_attr(5) | File Formats Manual | proc_pid_attr(5) |
NUME¶
/proc/pid/attr/ - atribute legate de securitate
DESCRIERE¶
- /proc/pid/attr/
- Fișierele din acest director oferă o interfață API pentru modulele de securitate. Conținutul acestui director sunt fișiere care pot fi citite și scrise pentru a stabili atribute legate de securitate. Acest director a fost adăugat pentru a asigura suport pentru SELinux, dar intenția a fost ca API-ul să fie suficient de general pentru a asigura suport pentru alte module de securitate. În scopul explicării, mai jos sunt furnizate exemple ale modului în care SELinux utilizează aceste fișiere.
- Acest director este prezent numai dacă nucleul a fost configurat cu CONFIG_SECURITY.
- /proc/pid/attr/current (începând cu Linux 2.6.0)
- Conținutul acestui fișier reprezintă atributele actuale de securitate ale procesului.
- În SELinux, acest fișier este utilizat pentru a obține contextul de securitate al unui proces. Înainte de Linux 2.6.11, acest fișier nu putea fi utilizat pentru a stabili contextul de securitate (o scriere era întotdeauna refuzată), deoarece SELinux limita tranzițiile de securitate ale proceselor la execve(2) (a se vedea descrierea /proc/pid/attr/exec, mai jos). Începând cu Linux 2.6.11, SELinux a eliminat această restricție și a început să ofere suport pentru operațiile „set” prin intermediul scrierilor în acest nod, dacă sunt autorizate de politică, deși utilizarea acestei operații este adecvată numai pentru aplicațiile care sunt de încredere pentru a menține orice separare dorită între vechiul și noul context de securitate.
- Înainte de Linux 2.6.28, SELinux nu permitea firelor dintr-un proces cu mai multe fire să își stabilească contextul de securitate prin intermediul acestui nod, deoarece acest lucru ar produce o inconsecvență între contextele de securitate ale firelor care împart același spațiu de memorie. Începând cu Linux 2.6.28, SELinux a eliminat această restricție și a început să ofere suport pentru operațiile „set” pentru firele de execuție din cadrul unui proces cu mai multe fire de execuție dacă noul context de securitate este delimitat de vechiul context de securitate, unde relația delimitată este definită în politică și garantează că noul context de securitate are un subset de permisiuni ale vechiului context de securitate.
- Alte module de securitate pot alege să ofere suport pentru operațiile „set” prin scrierea în acest nod.
- /proc/pid/attr/exec (începând cu Linux 2.6.0)
- Acest fișier reprezintă atributele care urmează să fie atribuite procesului la o execve(2) ulterioară.
- În SELinux, acest lucru este necesar pentru a gestiona tranzițiile de rol/domeniu, iar execve(2) este punctul preferat pentru a efectua astfel de tranziții deoarece oferă un control mai bun asupra inițializării procesului în noua etichetă de securitate și asupra moștenirii stării. În SELinux, acest atribut este reinițializat în execve(2), astfel încât noul program revine la comportamentul implicit pentru orice apel execve(2) pe care îl poate efectua. În SELinux, un proces își poate stabili numai propriul atribut /proc/pid/attr/exec.
- /proc/pid/attr/fscreate (începând cu Linux 2.6.0)
- Acest fișier reprezintă atributele care trebuie atribuite fișierelor create prin apeluri ulterioare la open(2), mkdir(2), symlink(2) și mknod(2)
- SELinux utilizează acest fișier pentru a asigura suportul creării unui fișier (utilizând apelurile de sistem menționate anterior) într-o stare sigură, astfel încât să nu existe riscul obținerii unui acces necorespunzător între momentul creării și momentul în care sunt stabilite atributele. În SELinux, acest atribut este restabilit în execve(2), astfel încât noul program revine la comportamentul implicit pentru toate apelurile de creare a fișierelor pe care le poate efectua, dar atributul va persista în mai multe apeluri de creare a fișierelor în cadrul unui program, cu excepția cazului în care este restabilit în mod explicit. În SELinux, un proces își poate stabili doar propriul atribut /proc/pid/attr/fscreate.
- /proc/pid/attr/keycreate (începând cu Linux 2.6.18)
- Dacă un proces scrie un context de securitate în acest fișier, toate cheile create ulterior (add_key(2)) vor fi etichetate cu acest context. Pentru informații suplimentare, consultați fișierul sursă al nucleului Documentation/security/keys/core.rst (sau fișierul Documentation/security/keys.txt între Linux 3.0 și Linux 4.13, sau Documentation/keys.txt înainte de Linux 3.0).
- /proc/pid/attr/prev (începând cu Linux 2.6.0)
- Acest fișier conține contextul de securitate al procesului înainte de ultimul execve(2); adică, valoarea anterioară a /proc/pid/attr/current.
- /proc/pid/attr/socketcreate (începând cu Linux 2.6.18)
- Dacă un proces scrie un context de securitate în acest fișier, toate soclurile create ulterior vor fi etichetate cu acest context.
CONSULTAȚI ȘI¶
TRADUCERE¶
Traducerea în limba română a acestui manual a fost făcută de Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>
Această traducere este documentație gratuită; citiți Licența publică generală GNU Versiunea 3 sau o versiune ulterioară cu privire la condiții privind drepturile de autor. NU se asumă NICIO RESPONSABILITATE.
Dacă găsiți erori în traducerea acestui manual, vă rugăm să trimiteți un e-mail la translation-team-ro@lists.sourceforge.net.
2 mai 2024 | Pagini de manual de Linux 6.8 |