Pam selinux.so

Ein Modul aus der Gruppe session

Aufgabe

• den Sicherheitskontext für den als Nächstes gestarteten Prozess festlegen
• Während des Ablaufs eines Login-Programms (login, sshd usw.) bereitet das Modul den SELinux-Kontext für den nächsten zu startenden Prozess vor

Nachdem der Benutzer die Login-Prüfung erfolgreich durchlaufen hat, wechselt PAM in die Phase open_session

• In diesem Moment bereitet pam_selinux.so den SELinux-Kontext für die Benutzersitzung vor

Funktionsprinzip

Zuordnung von Linux user zu SELinux user

• Verwendet wird die Datei seusers

Nachdem der SELinux user ermittelt wurde

• muss das Modul bestimmen, welcher Login-Kontext für diese Sitzung gewählt werden kann und soll

Verwendet werden die Datei default_contexts sowie benutzerspezifische Einstellungen unter /etc/selinux/<POLICY>/contexts/users/

• pam_selinux.so konfiguriert das System so, dass der als Nächstes gestartete Prozess bereits in diesem Kontext startet
• Danach startet das Login-Programm die Shell des Benutzers, und die Shell erscheint bereits mit dem korrekten SELinux-Kontext

Wenn der Benutzer seine Arbeit beendet und die Sitzung geschlossen wird, ruft PAM die Phase close_session auf

Das Modul pam_selinux.so entfernt die temporären Einstellungen, die mit der geöffneten Sitzung verbunden sind, und stellt den vorherigen Zustand wieder her