3.7. Modos de permiso de acceso a archivos

Los modos de permiso de acceso a archivos consisten en combinaciones de los seis modos siguientes:

r

modo de lectura

w

modo de escritura

px

modo de ejecución discreta de perfiles

ux

modo de ejecución sin restricciones

ix

modo de ejecución heredado

l

modo de enlace

3.7.1. Modo de lectura

Proporciona al programa acceso de lectura al recurso. El acceso de lectura es necesario para los guiones de shell y otro tipo de contenido interpretado, y determina si el núcleo de un proceso en ejecución puede volcarse o si el proceso puede adjuntarse a otro mediante el comando ptrace(2) [ptrace(2) es un comando empleado por utilidades como strace(1), ltrace(1) y gdb(1)].

3.7.2. Modo de escritura

Proporciona al programa acceso de escritura al recurso. Los archivos deben disponer de este permiso para que sea posible cancelar su enlace (eliminarlos).

3.7.3. Modo de ejecución discreta de perfiles

Este modo requiere que se haya definido un perfil de seguridad discreto para un recurso ejecutado en una transición de dominio de Novell AppArmor. Si no hay ningún perfil definido, se deniega el acceso. Es incompatible con las entradas de ejecución heredar y sin restricciones.

3.7.4. Modo de ejecución sin restricciones

Permite al programa ejecutar el recurso sin aplicar ningún perfil de Novell AppArmor. Requiere que también se incluya el modo de ejecución. Es incompatible con las entradas de ejecución heredar y de perfil discreto.

Este modo resulta útil cuando un programa limitado debe llevar a cabo una operación con privilegios, como reiniciar el equipo. Al colocar la sección con privilegios en otro ejecutable y proporcionar derechos de ejecución sin restricciones, es posible omitir las restricciones obligatorias impuestas a todos los procesos limitados. Para obtener más información acerca de lo que significan las restricciones, consulte la página Man sobre apparmor(7).

3.7.5. Modo de ejecución heredado

Impide la transición normal de dominios de Novell AppArmor en execve(2) cuando el programa del perfil ejecuta el recurso. En lugar de ello, el recurso ejecutado hereda el perfil actual. Es incompatible con las entradas de ejecución sin restricciones y de perfil discreto. Este modo resulta útil cuando un programa limitado necesita llamar a otro programa limitado sin obtener los permisos del perfil del destino o perder los permisos del perfil actual. Este modo se utiliza con muy poca frecuencia.

3.7.6. Modo de enlace

El modo de enlace media entre el acceso a enlaces simbólicos y físicos y el privilegio para anular el enlace de los archivos (suprimirlos). Cuando se crea un enlace, el archivo que lo recibe debe disponer de los mismos permisos de acceso que el enlace creado (con la excepción de que el destino no tiene que disponer necesariamente de acceso al enlace).