¿Se aplican las reglas de SELinux antes o después de los permisos estándar de Linux?

Cuando SELinux se instala en un sistema, ¿se aplican sus reglas antes o después de los permisos estándar de Linux? Por ejemplo, si un usuario de Linux no root intenta escribir en un archivo con permiso de Linux, -rw------- root root¿se verificarán primero las reglas de SELinux o se aplicarán los permisos estándar del sistema de archivos y nunca se invocará SELinux?

— satur9nine
fuente

SELinux está deshabilitado en su listado de ejemplo.

— Michael Hampton

@MichaelHampton ¿No lo creo? Sin embargo, el lscomando utilizado para el ejemplo no incluyó -Z, pero la salida del ejemplo no me da suficiente información para ver si SElinux está activado o desactivado. Si se refiere a lo que falta +en la máscara de bits, esto no es SElinux sino ACL del sistema de archivos.

— jornane

@jornane Me refiero a los desaparecidos .en el listado. Aparece si SELinux es obligatorio o permisivo, lo use -Zo no.

— Michael Hampton

Ah, revisé una máquina Linux que no es RHEL. Tienes razón, .no aparece allí. Hoy aprendí. :)

— jornane 01 de

Veo que los términos para buscar ahora son MAC y DAC. DAC es el sistema de permisos estándar. MAC es el sistema utilizado por SELinux.

La respuesta para citar una fuente es:

Es importante recordar que las reglas de política de SELinux se verifican después de las reglas de DAC. Las reglas de política de SELinux no se usan si las reglas de DAC niegan el acceso primero.

Este diagrama muestra:

Referencias

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

— satur9nine
fuente