Я хочу следующее:

  1. Я хочу использовать openssl для изменения ключей. Итак, я создал каталог " /etc/keys ", который я назвал " keys ". Я создал файл « ключ » с тем же доступом « ключи » и другой файл ключа « запрещенный ключ» с доступом « запрещено » в каталоге « etc/keys ».
  2. Я сделал команду openssl выполненной как " безопасную ".
  3. Я сделал следующие правила безопасными ключами rw secure запрещено -
  4. Я проверил правила, как показано на рисунке ниже, и они, кажется, работают.

чмокать изображение

  1. Но когда я попытался запустить команду, она не сработала, хотя доступ WRITE разрешен к /etc /keys и /etc /keys /key.

    openssl rand 32> /etc /keys /key

Сообщение об ошибке выглядит следующим образом

-bash: /etc/keys/key: Permission denied

Аудиторское сообщение выглядит следующим образом

Ядро VirtualBox: [1274.037659] аудит: тип = 1400 аудит (1500117397.021: 8): lsm = SMACK fn = smack_inode_getattr action = denied subject = "_" object = "keys" запрашивается = r pid = 2574 comm = "pool" path = "/etc/keys" dev = "sda1" ino = 3932692

Странно, что я запустил openssl с исполнением "secure" в качестве субъекта, но я получаю в аудите как «floor (_)». Кто-нибудь может определить ошибку?

Привет, Сатья

1 ответ1

1

Есть две причины, почему это не удалось.

  1. Запись в /etc /keys /key выполняется bash, а не openssl

    Ваша команда "openssl rand 32> /etc /keys /key" указывает оболочке открыть файл /etc /keys /key для записи, выполнить команду openssl и перенаправить стандартный вывод из openssl в открытый файл /etc /keys /key. Ваша оболочка работает с надписью Smack ("_"), поэтому не может открыть файл. Если вы собираетесь открыть openssl в /etc /keys /key, попробуйте это:

    openssl rand 32-out /etc /keys /key

  2. Вам необходимо разрешить доступ для выполнения из "безопасного" в "ключи"

    Это потому, что будет два доступа от "защищенного" субъекта к "ключам" объекта. Когда openssl открывает файл /etc /keys /key для записи, он также должен иметь доступ к каталогам /etc / и /etc /keys /. Доступ к каталогам осуществляется с разрешения Smack "x". Поэтому вам нужно расширить правило "безопасные ключи rw" на "защищенные ключи rwx".

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .