Red Hat Summit6.4. Établissement de l'autorisation de l'utilisateur dans le système MLS
Après avoir basculé la politique SELinux sur MLS, vous devez attribuer des niveaux d'habilitation de sécurité aux utilisateurs en les associant à des utilisateurs SELinux confinés. Par défaut, un utilisateur ayant une habilitation de sécurité donnée :
- Impossible de lire des objets ayant un niveau de sensibilité plus élevé.
- Impossible d'écrire sur des objets ayant un niveau de sensibilité différent.
Conditions préalables
-
La politique SELinux est définie sur
mls. -
Le mode SELinux est défini sur
enforcing. -
Le paquet
policycoreutils-python-utilsest installé. Un utilisateur assigné à un utilisateur confiné SELinux :
-
Pour un utilisateur non privilégié, assigné à
user_u(example_user dans la procédure suivante). -
Pour un utilisateur privilégié, affecté à
staff_u(staff dans la procédure suivante) .
-
Pour un utilisateur non privilégié, assigné à
Assurez-vous que les utilisateurs ont été créés lorsque la politique MLS était active. Les utilisateurs créés dans d'autres politiques SELinux ne peuvent pas être utilisés dans MLS.
Procédure
Facultatif : Pour éviter d'ajouter des erreurs à votre politique SELinux, passez au mode SELinux
permissive, qui facilite le dépannage :setenforce 0
# setenforce 0Copy to Clipboard Copied! Toggle word wrap Toggle overflow ImportantEn mode permissif, SELinux n'applique pas la politique active mais enregistre uniquement les messages AVC (Access Vector Cache), qui peuvent ensuite être utilisés à des fins de dépannage et de débogage.
Définir une plage d'autorisation pour l'utilisateur SELinux
staff_u. Par exemple, cette commande définit la plage d'autorisation des1às15,s1étant le niveau d'autorisation par défaut :semanage user -m -L s1 -r s1-s15 _staff_u
# semanage user -m -L s1 -r s1-s15 _staff_uCopy to Clipboard Copied! Toggle word wrap Toggle overflow Génère des entrées de configuration du contexte de fichier SELinux pour les répertoires personnels des utilisateurs :
genhomedircon
# genhomedirconCopy to Clipboard Copied! Toggle word wrap Toggle overflow Rétablir les contextes de sécurité des fichiers par défaut :
restorecon -R -F -v /home/
# restorecon -R -F -v /home/ Relabeled /home/staff from staff_u:object_r:user_home_dir_t:s0 to staff_u:object_r:user_home_dir_t:s1 Relabeled /home/staff/.bash_logout from staff_u:object_r:user_home_t:s0 to staff_u:object_r:user_home_t:s1 Relabeled /home/staff/.bash_profile from staff_u:object_r:user_home_t:s0 to staff_u:object_r:user_home_t:s1 Relabeled /home/staff/.bashrc from staff_u:object_r:user_home_t:s0 to staff_u:object_r:user_home_t:s1Copy to Clipboard Copied! Toggle word wrap Toggle overflow Attribuer un niveau d'autorisation à l'utilisateur :
semanage login -m -r s1 example_user
# semanage login -m -r s1 example_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow Où
s1est le niveau d'habilitation attribué à l'utilisateur.Adapter le répertoire personnel de l'utilisateur au niveau d'autorisation de l'utilisateur :
chcon -R -l s1 /home/example_user
# chcon -R -l s1 /home/example_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow Facultatif : si vous êtes passé au mode SELinux
permissive, et après avoir vérifié que tout fonctionne comme prévu, repassez au mode SELinuxenforcing:setenforce 1
# setenforce 1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Verification steps
Vérifiez que l'utilisateur est associé au bon utilisateur SELinux et que le niveau d'autorisation attribué est correct :
semanage login -l
# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ user_u s0-s0 * example_user user_u s1 * ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Connectez-vous en tant qu'utilisateur dans MLS.
Vérifiez que le niveau de sécurité de l'utilisateur fonctionne correctement :
ImportantLes fichiers utilisés pour la vérification ne doivent pas contenir d'informations sensibles, au cas où la configuration serait incorrecte et où l'utilisateur pourrait accéder aux fichiers sans autorisation.
- Vérifiez que l'utilisateur ne peut pas lire un fichier dont le niveau de sensibilité est plus élevé.
- Vérifiez que l'utilisateur peut écrire dans un fichier avec la même sensibilité.
- Vérifiez que l'utilisateur peut lire un fichier dont le niveau de sensibilité est inférieur.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}