SupportConsoleDéveloppeursCommencer un essaiContact

6.7. Modification de la sensibilité des fichiers dans MLS

Dans la politique SELinux de MLS, les utilisateurs ne peuvent modifier que les fichiers de leur propre niveau de sensibilité. Cela permet d'éviter que des informations très sensibles ne soient exposées à des utilisateurs ayant un niveau d'habilitation inférieur et que des utilisateurs ayant un niveau d'habilitation inférieur ne créent des documents très sensibles. Les administrateurs peuvent toutefois augmenter manuellement la classification d'un fichier, par exemple pour que le fichier soit traité à un niveau supérieur.

Conditions préalables

  • La politique SELinux est définie sur mls.
  • Le mode SELinux est défini sur "enforcing".

  • Vous avez des droits d'administration de la sécurité, ce qui signifie que vous êtes assigné à l'une ou l'autre des deux fonctions :

    • Le rôle de secadm_r.
    • Si le module sysadm_secadm est activé, au rôle sysadm_r. Le module sysadm_secadm est activé par défaut.
  • Le paquet policycoreutils-python-utils est installé.

  • Un utilisateur assigné à n'importe quel niveau d'autorisation. Pour plus d'informations, voir Établissement des niveaux d'autorisation des utilisateurs dans MLS.

    Dans cet exemple, User1 a un niveau d'habilitation s1.

  • Fichier auquel un niveau de classification a été attribué et auquel vous avez accès.

    Dans cet exemple, /path/to/file a le niveau de classification s1.

Procédure

  1. Vérifier le niveau de classification du fichier : 

    # ls -lZ /path/to/file
-rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s1 0 12. Feb 10:43 /path/to/file

  2. Modifier le niveau de classification par défaut du fichier : 

    # semanage fcontext -a -r s2 /path/to/file

  3. Force le changement d'étiquette du contexte SELinux du fichier : 

    # restorecon -F -v /path/to/file
Relabeled /path/to/file from user_u:object_r:user_home_t:s1 to user_u:object_r:user_home_t:s2

Vérification

  1. Vérifier le niveau de classification du fichier : 

    # ls -lZ /path/to/file
-rw-r-----. 1 User1 User1 user_u:object_r:user_home_t:s2 0 12. Feb 10:53 /path/to/file

  2. Facultatif : Vérifiez que l'utilisateur ayant un niveau d'habilitation inférieur ne peut pas lire le fichier : 

    $ cat /path/to/file
cat: file: Permission denied

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.