SupportConsoleDéveloppeursCommencer un essaiContact

6.6. Augmentation des niveaux de sensibilité des fichiers dans le système MLS

Par défaut, les utilisateurs du système de sécurité multiniveau (MLS) ne peuvent pas augmenter le niveau de sensibilité des fichiers. Toutefois, l'administrateur de sécurité (secadm_r) peut modifier ce comportement par défaut pour permettre aux utilisateurs d'augmenter la sensibilité des fichiers en ajoutant le module local mlsfilewrite à la politique SELinux du système. Ensuite, les utilisateurs assignés au type SELinux défini dans le module de politique peuvent augmenter les niveaux de classification des fichiers en les modifiant. Chaque fois qu'un utilisateur modifie un fichier, le niveau de sensibilité du fichier augmente jusqu'à la valeur inférieure de la plage de sécurité actuelle de l'utilisateur.

Note

L'administrateur de sécurité, lorsqu'il est connecté en tant qu'utilisateur ayant le rôle secadm_r, peut modifier les niveaux de sécurité des fichiers à l'aide de la commande chcon -l s0 /path/to/file pour modifier les niveaux de sécurité des fichiers. Pour plus d'informations, voir Section 6.7, « Modification de la sensibilité des fichiers dans MLS »

Conditions préalables

  • La politique SELinux est définie sur mls.
  • Le mode SELinux est défini sur enforcing.
  • Le paquet policycoreutils-python-utils est installé.
  • Le module local mlsfilewrite est installé dans la politique SELinux MLS.

  • Vous êtes connecté en tant qu'utilisateur dans MLS qui est :

    • Assigné à une plage de sécurité définie. Cet exemple montre un utilisateur avec une plage de sécurité s0-s2.
    • Assigné au même type SELinux que celui défini dans le module mlsfilewrite. Cet exemple nécessite le module (typeattributeset mlsfilewrite (user_t)).

Procédure

  1. Facultatif : Affiche le contexte de sécurité de l'utilisateur actuel : 

    $ id -Z
user_u:user_r:user_t:s0-s2

  2. Modifiez le niveau inférieur de l'habilitation MLS de l'utilisateur pour qu'il corresponde au niveau que vous souhaitez attribuer au dossier : 

    $ newrole -l s1-s2

  3. Facultatif : Affiche le contexte de sécurité de l'utilisateur actuel : 

    $ id -Z
user_u:user_r:user_t:s1-s2

  4. Facultatif : Afficher le contexte de sécurité du fichier : 

    $ ls -Z /path/to/file
user_u:object_r:user_home_t:s0 /path/to/file

  5. Modifier le niveau de sensibilité du fichier pour qu'il corresponde au niveau le plus bas de l'habilitation de l'utilisateur en modifiant le fichier : 

    $ touch /path/to/file
    Important

    Le niveau de classification reprend sa valeur par défaut si la commande restorecon est utilisée sur le système.

  6. Facultatif : Quitter le shell pour revenir à la plage de sécurité précédente de l'utilisateur : 

    $ exit

Vérification

  • Affiche le contexte de sécurité du fichier : 

    $ ls -Z /path/to/file
user_u:object_r:user_home_t:s1 /path/to/file

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.