3.5.2. Confinar a los usuarios administradores
Puede utilizar uno de los dos métodos siguientes para confinar a los usuarios administradores.
3.5.2.1. Confirmar un administrador mediante la asignación a sysadm_u
Puedes confinar a un usuario con privilegios administrativos asignando el usuario directamente al usuario sysadm_u SELinux. Cuando el usuario se conecta, la sesión se ejecuta en el contexto sysadm_u:sysadm_r:sysadm_t SELinux.
Requisitos previos
-
El usuario
rootse ejecuta sin restricciones. Este es el valor por defecto de Red Hat Enterprise Linux.
Procedimiento
Opcional: Para permitir que los usuarios de
sysadm_use conecten al sistema mediante SSH:# setsebool -P ssh_sysadm_login onCree un nuevo usuario, añada el usuario al grupo de usuarios
wheely asigne el usuario al usuario de SELinuxsysadm_u:# adduser -G wheel -Z sysadm_u example.userOpcional: Asigne un usuario existente al usuario
sysadm_uSELinux y añada el usuario al grupo de usuarioswheel:# usermod -G wheel -Z sysadm_u example.user
Pasos de verificación
Comprueba que
example.useresté asignada al usuario de SELinuxsysadm_u:# semanage login -l | grep example.user example.user sysadm_u s0-s0:c0.c1023 *
Inicie la sesión como
example.userpor ejemplo, utilizando SSH, y mostrar el contexto de seguridad del usuario:[example.user@localhost ~]$ id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
Cambia al usuario
root:$ sudo -i [sudo] password for example.user:
Compruebe que el contexto de seguridad no se ha modificado:
# id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023Intente una tarea administrativa, por ejemplo, reiniciar el servicio
sshd:# systemctl restart sshdSi no hay salida, el comando ha terminado con éxito.
Si el comando no termina con éxito, imprime el siguiente mensaje:
Failed to restart sshd.service: Access denied See system logs and 'systemctl status sshd.service' for details.
