La cible SECMARK sert à placer une marque dans un contexte de sécurité sur un paquet, comme défini par SELinux et les systèmes de sécurité. Elle en est encore dans son enfance sous Linux, mais devrait prendre de plus en plus de place dans le futur. SELinux est hors de propos de ce document, je vous suggère de voir la page Security-Enhanced Linux pour plus d'information.
En bref, SELinux est un système nouveau et amélioré pour ajouter un Mandatory Access Control (MAC) à Linux, implémenté par la NSA comme test du concept. SELinux place des attributs de sécurité pour différents objets et ensuite les sélectionne dans des contextes de sécurité. La cible SECMARK sert à placer un contexte de sécurité sur un paquet qui peut être utilisé dans des sous-systèmes de sécurité.
Note | |
---|---|
La cible SECMARK n'est valide que dans la table mangle. |
Tableau 11.16. Options de la cible SECMARK
Option | --selctx |
Exemple | iptables -t mangle -A PREROUTING -p tcp --dport 80 -j SECMARK --selctx httpcontext |
Explication | L'option --selctx sert à spécifier quel contexte de sécurité placer sur un paquet. Le contexte peut ensuite être utilisé pour sélectionner les systèmes de sécurité de Linux. |