3.7. Confiner un administrateur en le faisant correspondre à sysadm_u

Procédure

1. Facultatif : Pour permettre aux utilisateurs de sysadm_u de se connecter au système à l'aide de SSH :

   # setsebool -P ssh_sysadm_login on

2. Créez un nouvel utilisateur, ajoutez-le au groupe d'utilisateurs wheel et associez-le à l'utilisateur SELinux sysadm_u:

   # adduser -G wheel -Z sysadm_u example.user

3. Facultatif : Associez un utilisateur existant à l'utilisateur SELinux sysadm_u et ajoutez l'utilisateur au groupe d'utilisateurs wheel:

   # usermod -G wheel -Z sysadm_u example.user

Vérification

1. Vérifiez que example.user est associé à l'utilisateur SELinux sysadm_u:

   # semanage login -l | grep example.user
   example.user     sysadm_u    s0-s0:c0.c1023   *

2. Se connecter en tant que example.userpar exemple, en utilisant SSH, et afficher le contexte de sécurité de l'utilisateur :

   [example.user@localhost ~]$ id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

3. Passez à l'utilisateur root:

   $ sudo -i
   [sudo] password for example.user:

4. Vérifiez que le contexte de sécurité reste inchangé :

   # id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

5. Essayez une tâche administrative, par exemple en redémarrant le service sshd:

   # systemctl restart sshd

   S'il n'y a pas de sortie, la commande s'est terminée avec succès.

   Si la commande ne se termine pas avec succès, elle affiche le message suivant :

   Failed to restart sshd.service: Access denied
   See system logs and 'systemctl status sshd.service' for details.