As regras do SELinux são aplicadas antes ou depois das permissões padrão do Linux?

Quando o SELinux é instalado em um sistema, suas regras são aplicadas antes ou depois das permissões padrão do Linux? Por exemplo, se um usuário linux não raiz tentar gravar em um arquivo com permissão linux -rw------- root root, as regras do SELinux serão verificadas primeiro ou serão aplicadas as permissões padrão do sistema de arquivos e o SELinux nunca será chamado?

— satur9nine
fonte

O SELinux está desativado na sua lista de exemplos.

— Michael Hampton

@MichaelHampton Acho que não? No entanto, o lscomando usado para o exemplo não incluiu -Z, mas a saída do exemplo não me fornece informações suficientes para verificar se o SElinux está ativado ou desativado. Se você está se referindo à falta +na máscara de bits, isso não é o SElinux, mas as ACLs do sistema de arquivos.

— Jornada #

@ jornane Estou me referindo à falta .na lista. Parece que o SELinux é impositivo ou permissivo, independentemente de você usar -Zou não.

— Michael Hampton

Ah, eu verifiquei em uma máquina Linux não RHEL. Você está certo, .não aparece lá. Hoje eu aprendi. :)

— jornane

Vejo que os termos a serem pesquisados agora são MAC e DAC. DAC é o sistema de permissão padrão. MAC é o sistema usado pelo SELinux.

A resposta para citar uma fonte é:

É importante lembrar que as regras de política do SELinux são verificadas após as regras do DAC. As regras de política do SELinux não serão usadas se as regras do DAC negarem o acesso primeiro.

Este diagrama mostra:

Referências:

https://selinuxproject.org/page/NB_MAC

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/selg-overview.html

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/chap-Security-Enhanced_Linux-Introduction.html

— satur9nine
fonte