Inicio
Productos
Red Hat Enterprise Linux
8
Uso de SELinux
3.2. Capacidades de los usuarios de SELinux

3.2. Capacidades de los usuarios de SELinux

La siguiente tabla proporciona ejemplos de dominios confinados básicos para usuarios de Linux en Red Hat Enterprise Linux:

Expand

Tabla 3.1. Capacidades de los usuarios de SELinux
Usuario	Papel	Dominio	Sistema X Window	su o sudo	Ejecutar en el directorio principal y en /tmp (por defecto)	Red
sysadm_u	sysadm_r	sysadm_t	sí	su y sudo	sí	sí
staff_u	staff_r	staff_t	sí	sólo sudo	sí	sí
usuario_u	usuario_r	usuario_t	sí	no	sí	sí
guest_u	guest_r	guest_t	no	no	sí	no
xguest_u	xguest_r	xguest_t	sí	no	sí	Sólo para Firefox

Los usuarios de Linux en los dominios user_t, guest_t, y xguest_t sólo pueden ejecutar aplicaciones setuid si la política SELinux lo permite (por ejemplo, passwd). Estos usuarios no pueden ejecutar las aplicaciones setuid de su y sudo, y por lo tanto no pueden usar estas aplicaciones para convertirse en root.
Los usuarios de Linux en los dominios sysadm_t, staff_t, user_t, y xguest_t pueden conectarse utilizando el sistema X Window y un terminal.
Por defecto, los usuarios de Linux en los dominios staff_t, user_t, guest_t, y xguest_t pueden ejecutar aplicaciones en sus directorios personales y /tmp.
Para evitar que ejecuten aplicaciones, que heredan los permisos de los usuarios, en directorios a los que tienen acceso de escritura, establezca los booleanos guest_exec_content y xguest_exec_content en off. Esto ayuda a evitar que aplicaciones defectuosas o maliciosas modifiquen los archivos de los usuarios.
El único acceso a la red que tienen los usuarios de Linux en el dominio xguest_t es Firefox para conectarse a las páginas web.
El usuario sysadm_u no puede iniciar sesión directamente utilizando SSH. Para habilitar los inicios de sesión SSH para sysadm_u, establezca el booleano ssh_sysadm_login en on:
```
setsebool -P ssh_sysadm_login on
```
```
# setsebool -P ssh_sysadm_login on
```
Copy to Clipboard Toggle word wrap

Tenga en cuenta que system_u es una identidad de usuario especial para los procesos y objetos del sistema. Nunca debe asociarse a un usuario de Linux. Además, unconfined_u y root son usuarios no confinados. Por estas razones, no están incluidos en la tabla anterior de capacidades de usuario de SELinux.

Junto con los usuarios de SELinux ya mencionados, hay roles especiales, que pueden ser asignados a esos usuarios usando el comando semanage user. Estos roles determinan lo que SELinux permite hacer al usuario:

webadm_r sólo puede administrar los tipos de SELinux relacionados con el servidor HTTP Apache.
dbadm_r sólo puede administrar tipos de SELinux relacionados con la base de datos MariaDB y el sistema de gestión de bases de datos PostgreSQL.
logadm_r sólo puede administrar los tipos de SELinux relacionados con los procesos syslog y auditlog.
secadm_r sólo puede administrar SELinux.
auditadm_r sólo puede administrar los procesos relacionados con el subsistema de Auditoría.

Para listar todos los roles disponibles, introduzca el comando seinfo -r:

seinfo -r

$ seinfo -r
Roles: 14
   auditadm_r
   dbadm_r
   guest_r
   logadm_r
   nx_server_r
   object_r
   secadm_r
   staff_r
   sysadm_r
   system_r
   unconfined_r
   user_r
   webadm_r
   xguest_r

Copy to Clipboard

Toggle word wrap

Tenga en cuenta que el comando seinfo lo proporciona el paquete setools-console, que no está instalado por defecto.

Recursos adicionales

Para más información, consulte las páginas de manual seinfo(1), semanage-login(8), y xguest_selinux(8).

Volver arriba

3.2. Capacidades de los usuarios de SELinux

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Hacer que el código abierto sea más inclusivo

Acerca de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links