트리 내의 Linux 보안 모듈에서,아 칼리, 트리 외부 LSM 및 기타 기존 커널 기반 솔루션의 경로와 기본 블록 장치를 기반으로 파일을 보호할 수 있는 방법이 있습니까?
SELinux 및 SMACK은 확장 속성을 사용하여 파일에 대한 액세스를 제어하지만 이는 마운트된 파일 시스템에 액세스 제어를 적용하는 문제로 인해 문제가 발생합니다. 이러한 파일은 (동일한 확장 속성 값) LSM 정책이 있는 경우 이미지 파일이나 외부 저장 장치에서 발생할 수 있습니다. 사용됩니다. AppArmor는 파일 경로를 기반으로 액세스를 제어할 수 있으므로 마운트 관련 문제를 피할 수 있지만 바인드 마운트 및 하드 링크를 사용하면 이 제어를 우회할 수 있습니다.
파일 시스템 마운트 기능을 제한하거나 마운트된 외부 스토리지의 LSM 컨텍스트를 마스킹해야 하는 접근 방식은 지나치게 복잡하거나 필연적으로 모든 유형의 컨테이너화된 시스템에 구멍을 남깁니다. 따라서 기본 블록 장치와 파일 시스템의 실제 경로 이름을 고려하여 파일에 대한 액세스를 제한할 수 있는 보안 모듈이나 메커니즘이 있습니까(예: "모든 바인드 마운트 및 오버로드 포함" 라이브" FS 보기 아님) )?
/share/certs/certs.db예: 블록 장치의 파일 시스템 경로에 있는 파일/디렉터리 X(장치 번호, by-pathID, 월드 와이드 이름 등과 같은 일부 식별자)가 수정되지 않도록 보호합니다.