.\" -*- coding: UTF-8 -*- .\" Copyright (C) 1994, 1995, Daniel Quinlan .\" Copyright (C) 2023, Alejandro Colomar .\" .\" SPDX-License-Identifier: GPL-3.0-or-later .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH proc_pid_attr 5 "2 maja 2024 r." "Linux man\-pages 6.9.1" .SH NAZWA /proc/pid/attr/ \- atrybuty związane z bezpieczeństwem .SH OPIS .TP \fI/proc/\fPpid\fI/attr/\fP .\" https://lwn.net/Articles/28222/ .\" From: Stephen Smalley .\" To: LKML and others .\" Subject: [RFC][PATCH] Process Attribute API for Security Modules .\" Date: 08 Apr 2003 16:17:52 -0400 .\" .\" http://www.nsa.gov/research/_files/selinux/papers/module/x362.shtml .\" Pliki w tym katalogu udostępniają API do modułów bezpieczeństwa. Zawartością katalogu są pliki, które mogą być odczytywane i zapisywane, aby ustawić atrybuty związane z bezpieczeństwem. Ten katalog został dodany do obsługi SELinux, ale intencją było to, aby API było na tyle ogóle, aby obsługiwać również inne moduły bezpieczeństwa. Dla wyjaśnienia, poniżej przedstawiono przykłady jak SELinux używa tych plików. .IP Obecne tylko, jeśli jądro zostało skonfigurowane z \fBCONFIG_SECURITY\fP. .TP \fI/proc/\fPpid\fI/attr/current\fP (od Linuksa 2.6.0) Zawartość tego pliku reprezentuje aktualne atrybuty bezpieczeństwa procesu. .IP W SELinuksie plik ten służy do pozyskania kontekstu bezpieczeństwa procesu. Do Linuksa 2.6.11 plik nie mógł służyć do ustawienia kontekstu bezpieczeństwa (zapis był zawsze zabroniony), ponieważ SELinux ograniczał przejścia bezpieczeństwa procesu do \fBexecve\fP(2) (zob. opis \fI/proc/\fPpid\fI/attr/exec\fP, poniżej). Od Linuksa 2.6.11 SELinux poluzował to ograniczenie i zaczął obsługiwać operacje \[Bq]ustawiania\[rq] poprzez zapis do tego węzła, jeśli jest on autoryzowany przez politykę, choć użycie tej operacji jest odpowiednie jedynie dla aplikacji zaufanych do zarządzania pożądaną separacją pomiędzy starymi a nowymi kontekstami bezpieczeństwa. .IP Do Linuksa 2.6.28 SELinux nie pozwalał wątkom z wielowątkowych procesów na ustawienie ich kontekstu bezpieczeństwa poprzez ten węzeł, jeśli mogło to doprowadzić do niespójności wśród kontekstów bezpieczeństwa wątków dzielących tą samą przestrzeń pamięci. Od Linuksa 2.6.28 SELinux poluzował to ograniczenie i rozpoczął obsługiwanie operacji \[Bq]ustawiania\[rq] dla wątków procesów wielowątkowych, jeśli ich nowy kontekst bezpieczeństwa jest powiązana ze starym kontekstem bezpieczeństwa, gdzie relacja powiązania jest zdefiniowana w polityce i gwarantuje, że nowy kontekst bezpieczeństwa ma podzbiór uprawnień starego kontekstu bezpieczeństwa. .IP Inne moduły bezpieczeństwa mogą wybrać aby obsługiwać operacje \[Bq]ustawiania\[rq] poprzez zapis do tego węzła. .TP \fI/proc/\fPpid\fI/attr/exec\fP (od Linuksa 2.6.0) Ten plik reprezentuje atrybuty przypisane do procesu przez kolejne \fBexecve\fP(2). .IP W SELinuksie jest to potrzebne do obsługi przejść roli/domeny, a \fBexecve\fP(2) jest preferowanym punktem do takich przekształceń, ponieważ oferuje on lepszą kontrolę nad inicjalizacją procesu w nowej etykiecie bezpieczeństwa i nienaruszalności stanu. W SELinuksie ten atrybut jest resetowany przy \fBexecve\fP(2), tak więc nowy program powraca do domyślnego zachowania przy każdym wywołaniu \fBexecve\fP(2) jakie może utworzyć. W SELinuksie proces może ustawić tylko swój atrybut \fI/proc/\fPpid\fI/attr/exec\fP. .TP \fI/proc/\fPpid\fI/attr/fscreate\fP (od Linuksa 2.6.0) Plik ten reprezentuje atrybuty do przypisania do plików utworzone przez kolejne wywołania do \fBopen\fP(2), \fBmkdir\fP(2), \fBsymlink\fP(2) i \fBmknod\fP(2) .IP SELinux wykorzystuje ten plik do obsługi tworzenia pliku (za pomocą wspomnianych wcześniej wywołań systemowych) w stanie bezpieczeństwa, co nie daje ryzyka niepoprawnego dostępu uzyskanego podczas tworzenia pliku i ustawiania atrybutów. W SELinuksie atrybut ten jest resetowany przy \fBexecve\fP(2), tak więc nowy program powraca do domyślnego zachowania przy każdym wywołaniu tworzącym plik jakie może on wykonać, ale atrybut jest zachowywany podczas wielu wywołań tworzących plik przez jeden program, chyba że jest jawnie resetowany. W SELinuksie proces może ustawić tylko swój atrybut \fI/proc/\fPpid\fI/attr/fscreate\fP. .TP \fI/proc/\fPpid\fI/attr/keycreate\fP (od Linuksa 2.6.18) .\" commit 4eb582cf1fbd7b9e5f466e3718a59c957e75254e .\" commit b68101a1e8f0263dbc7b8375d2a7c57c6216fb76 .\" commit d410fa4ef99112386de5f218dd7df7b4fca910b4 Jeśli proces zapisuje kontekst bezpieczeństwa do tego pliku, wszystkie kolejno utworzone klucze (\fBadd_key\fP(2)) będą oznaczone tym kontekstem. Więcej informacji znajduje się w pliku źródeł jądra \fIDocumentation/security/keys/core.rst\fP (lub pliku \fIDocumentation/security/keys.txt\fP pomiędzy Linuksem 3.0 a Linuksem 4.13 albo \fIDocumentation/keys.txt\fP przed Linuksem 3.0). .TP \fI/proc/\fPpid\fI/attr/prev\fP (od Linuksa 2.6.0) Plik ten zawiera kontekst bezpieczeństwa procesu przed ostatnim \fBexecve\fP(2); tj. poprzednią wartość \fI/proc/\fPpid\fI/attr/current\fP. .TP \fI/proc/\fPpid\fI/attr/socketcreate\fP (od Linuksa 2.6.18) .\" commit 42c3e03ef6b298813557cdb997bd6db619cd65a2 Jeśli proces zapisuje kontekst bezpieczeństwa do tego pliku, wszystkie kolejno utworzone gniazda będą oznaczone tym kontekstem. .SH "ZOBACZ TAKŻE" \fBproc\fP(5) .PP .SH TŁUMACZENIE Tłumaczenie niniejszej strony podręcznika: Przemek Borys , Robert Luberda i Michał Kułach . .PP Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji można uzyskać zapoznając się z .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License w wersji 3 .UE lub nowszej. Nie przyjmuje się ŻADNEJ ODPOWIEDZIALNOŚCI. .PP Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej .MT manpages-pl-list@lists.sourceforge.net .ME .