セキュリティモジュールはLinuxカーネルのアクセスモデルを完全にオーバーライドできますか?

セキュリティモジュールはLinuxカーネルのアクセスモデルを完全にオーバーライドできますか?

わかりましたアパモア具体的に使用する方法限界ファイルシステム権限でプログラムにアクセスできます。不明なのは、Apparmorまたは同様のセキュリティモジュールがプログラムのアクセス権を完全に無視できるかどうかです。彼らはできますか承認するプログラムは、ユーザーがアクセスできないファイルの読み取り/書き込み/実行にアクセスできます。

私は既存のセキュリティモジュールが何をするように設定できるのではなく、Linuxカーネルがそのようなセキュリティモジュールが何をすることを可能にするのかを尋ねています。

セキュリティモジュールはLinuxカーネルのアクセスモデルを完全にオーバーライドできますか?

答え1

この内容は言及されていないようですカーネルのLSMドキュメントしかし、いいえ、セキュリティモジュールはカーネルのアクセスモデルを完全に含まず、カーネルを補完します。

たとえば、実行前のチェックには以下が含まれます。do_open_execat、権限を確認してください。 LSMフックは後で呼び出されます(照会security_)。他の例には、以下のすべての機能が含まれます。fs/namei.c呼び出し機能は次のとおりです。may_delete関連LSMフックの前に。

関連情報