3.2. Capacidades de los usuarios de SELinux
La siguiente tabla proporciona ejemplos de dominios confinados básicos para usuarios de Linux en Red Hat Enterprise Linux:
| Usuario | Papel | Dominio | Sistema X Window | su o sudo | Ejecutar en el directorio principal y en /tmp (por defecto) | Red |
|---|---|---|---|---|---|---|
| sysadm_u | sysadm_r | sysadm_t | sí | su y sudo | sí | sí |
| staff_u | staff_r | staff_t | sí | sólo sudo | sí | sí |
| usuario_u | usuario_r | usuario_t | sí | no | sí | sí |
| guest_u | guest_r | guest_t | no | no | sí | no |
| xguest_u | xguest_r | xguest_t | sí | no | sí | Sólo para Firefox |
-
Los usuarios de Linux en los dominios
user_t,guest_t, yxguest_tsólo pueden ejecutar aplicaciones setuid si la política SELinux lo permite (por ejemplo,passwd). Estos usuarios no pueden ejecutar las aplicaciones setuid desuysudo, y por lo tanto no pueden usar estas aplicaciones para convertirse en root. -
Los usuarios de Linux en los dominios
sysadm_t,staff_t,user_t, yxguest_tpueden conectarse utilizando el sistema X Window y un terminal. Por defecto, los usuarios de Linux en los dominios
staff_t,user_t,guest_t, yxguest_tpueden ejecutar aplicaciones en sus directorios personales y/tmp.Para evitar que ejecuten aplicaciones, que heredan los permisos de los usuarios, en directorios a los que tienen acceso de escritura, establezca los booleanos
guest_exec_contentyxguest_exec_contentenoff. Esto ayuda a evitar que aplicaciones defectuosas o maliciosas modifiquen los archivos de los usuarios.-
El único acceso a la red que tienen los usuarios de Linux en el dominio
xguest_tes Firefox para conectarse a las páginas web. El usuario
sysadm_uno puede iniciar sesión directamente utilizando SSH. Para habilitar los inicios de sesión SSH parasysadm_u, establezca el booleanossh_sysadm_loginenon:# setsebool -P ssh_sysadm_login on
Tenga en cuenta que system_u es una identidad de usuario especial para los procesos y objetos del sistema. Nunca debe asociarse a un usuario de Linux. Además, unconfined_u y root son usuarios no confinados. Por estas razones, no están incluidos en la tabla anterior de capacidades de usuario de SELinux.
Junto con los usuarios de SELinux ya mencionados, hay roles especiales, que pueden ser asignados a esos usuarios usando el comando semanage user. Estos roles determinan lo que SELinux permite hacer al usuario:
-
webadm_rsólo puede administrar los tipos de SELinux relacionados con el servidor HTTP Apache. -
dbadm_rsólo puede administrar tipos de SELinux relacionados con la base de datos MariaDB y el sistema de gestión de bases de datos PostgreSQL. -
logadm_rsólo puede administrar los tipos de SELinux relacionados con los procesossyslogyauditlog. -
secadm_rsólo puede administrar SELinux. -
auditadm_rsólo puede administrar los procesos relacionados con el subsistema de Auditoría.
Para listar todos los roles disponibles, introduzca el comando seinfo -r:
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
Tenga en cuenta que el comando seinfo lo proporciona el paquete setools-console, que no está instalado por defecto.
Recursos adicionales
-
Para más información, consulte las páginas de manual
seinfo(1),semanage-login(8), yxguest_selinux(8).
