NOM¶

/proc/pid/attr/ - Attributs relatifs à la sécurité

DESCRIPTION¶

/proc/pid/attr/

Les fichiers dans ce répertoire fournissent une API pour des modules de sécurité. Le contenu de ce répertoire se compose de fichiers pouvant être lus et édités dans le but de définir des attributs relatifs à la sécurité. Ce répertoire a été ajouté pour prendre en charge SELinux, mais l’intention était que l’API soit suffisamment générale pour prendre en charge d’autres modules de sécurité. Dans un but explicatif, des exemples d'utilisation de ces fichiers par SELinux sont fournis ci-après.

Ce répertoire n’est présent que si le noyau est configuré avec l'option CONFIG_SECURITY.

/proc/pid/attr/current (depuis Linux 2.6.0)

Le contenu de ce fichier correspond aux attributs de sécurité actuels du processus.

Dans SELinux, ce fichier est utilisé pour obtenir le contexte de sécurité d’un processus. Avant Linux 2.6.11, ce fichier ne pouvait pas être utilisé pour définir le contexte de sécurité (une écriture était toujours refusée) puisque SELinux limitait les transitions de sécurité de processus à execve(2) (consulter la description de /proc/pid/attr/exec ci-après). Depuis Linux 2.6.11, SELinux a levé cette restriction et a commencé à prendre en charge les opérations « set » à travers des écritures sur ce nœud si la politique l’autorise, bien que cette opération ne soit adaptée qu’aux applications qui sont fiables pour l’entretien de toute séparation désirée entre les anciens et nouveaux contextes de sécurité.

Avant Linux 2.6.28, SELinux ne permettait pas que les threads dans un processus multithread définissent leur contexte de sécurité à l’aide de ce nœud car cela pouvait amener une incohérence parmi les contextes de sécurité des threads partageant le même espace mémoire. Depuis Linux 2.6.28, SELinux a levé cette restriction et a commencé à prendre en charge les opérations « set » pour les threads dans un processus multithread si le nouveau contexte de sécurité est lié à l’ancien contexte de sécurité et où la relation de liaison est définie dans la politique et garantit que le nouveau contexte de sécurité possède un sous-ensemble des permissions de l’ancien contexte de sécurité.

D’autres modules de sécurité peuvent décider de prendre en charge les opérations « set » à l’aide d’écritures dans ce nœud.

/proc/pid/attr/exec (depuis Linux 2.6.0)

Ce fichier décrit les attributs à assigner au processus lors d’un prochain execve(2).

Dans SELinux, cela est nécessaire pour prendre en charge les transitions de rôle ou de domaine et un execve(2) est la fonction préférée pour réaliser de telles transitions parce qu’elle offre un meilleur contrôle sur l’initialisation du processus dans le nouveau contexte de sécurité et dans l’héritage d’état. Dans SELinux, cet attribut est redéfini lors d’un execve(2) de façon que le nouveau programme revienne au comportement par défaut pour tout appel execve(2) qu’il peut provoquer. Dans SELinux, un processus peut définir seulement son propre attribut /proc/pid/attr/exec.

/proc/pid/attr/fscreate (depuis Linux 2.6.0)

Ce fichier décrit les attributs à assigner aux fichiers créés par des appels subséquents à open(2), mkdir(2), symlink(2) et mknod(2)

SELinux utilise ce fichier pour prendre en charge la création d’un fichier (en utilisant les appels système précédemment mentionnés) dans un état sécurisé, de façon à éviter tout risque d’accès inapproprié obtenu entre le moment de la création et le moment où les attributs sont définis. Dans SELinux, cet attribut est redéfini lors d’un execve(2), de façon que le nouveau programme revienne au comportement par défaut pour tout appel de création de fichier qu’il peut provoquer, mais l’attribut persiste à travers plusieurs appels de création de fichier dans un programme à moins qu’il ne soit explicitement redéfini. Dans SELinux, un processus peut seulement définir son propre attribut /proc/pid/attr/fscreate.

/proc/pid/attr/keycreate (depuis Linux 2.6.18)

Si un processus écrit un contexte de sécurité dans ce fichier, toutes les clés créées par la suite (add_key(2)) seront étiquetées avec ce contexte. Pour de plus amples informations, consulter le fichier source du noyau Documentation/security/keys/core.rst (ou le fichier Documentation/security/keys.txt entre Linux 3.0 et Linux 4.13 ou Documentation/keys.txt avant Linux 3.0).

/proc/pid/attr/prev (depuis Linux 2.6.0)

Ce fichier contient le contexte de sécurité du processus avant le dernier execve(2), c’est-à-dire la valeur précédente de /proc/pid/attr/current.

/proc/pid/attr/socketcreate (depuis Linux 2.6.18)

Si un processus écrit un contexte de sécurité dans ce fichier, tous les sockets créés par la suite seront étiquetés avec ce contexte.

VOIR AUSSI¶

proc(5)

TRADUCTION¶

La traduction française de cette page de manuel a été créée par Christophe Blaess <https://www.blaess.fr/christophe/>, Stéphan Rafin <stephan.rafin@laposte.net>, Thierry Vignaud <tvignaud@mandriva.com>, François Micaux, Alain Portal <aportal@univ-montp2.fr>, Jean-Philippe Guérard <fevrier@tigreraye.org>, Jean-Luc Coulon (f5ibh) <jean-luc.coulon@wanadoo.fr>, Julien Cristau <jcristau@debian.org>, Thomas Huriaux <thomas.huriaux@gmail.com>, Nicolas François <nicolas.francois@centraliens.net>, Florentin Duneau <fduneau@gmail.com>, Simon Paillard <simon.paillard@resel.enst-bretagne.fr>, Denis Barbier <barbier@debian.org>, David Prévot <david@tilapin.org>, Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr> et Lucien Gentis <lucien.gentis@waika9.com>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.