6.2. Rôles SELinux dans MLS
La politique SELinux associe chaque utilisateur Linux à un utilisateur SELinux. Cela permet aux utilisateurs Linux d'hériter des restrictions des utilisateurs SELinux.
La politique MLS ne contient pas le module unconfined, y compris les utilisateurs, les types et les rôles non limités. Par conséquent, les utilisateurs qui ne seraient pas confinés, y compris root, ne peuvent pas accéder à tous les objets et effectuer toutes les actions qu'ils pourraient effectuer dans la politique ciblée.
Vous pouvez personnaliser les autorisations pour les utilisateurs confinés dans votre politique SELinux en fonction de besoins spécifiques en ajustant les booléens dans la politique. Vous pouvez déterminer l'état actuel de ces booléens à l'aide de la commande semanage boolean -l. Pour dresser la liste de tous les utilisateurs SELinux, de leurs rôles SELinux et des niveaux et plages MLS/MCS, utilisez la commande semanage user -l comme root.
| User | Rôle par défaut | Autres rôles |
|---|---|---|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
| |
|
|
|
|
|
| ||
|
| ||
|
| ||
|
|
|
Notez que system_u est une identité d'utilisateur spéciale pour les processus et les objets du système, et que system_r est le rôle associé. Les administrateurs ne doivent jamais associer cet utilisateur system_u et le rôle system_r à un utilisateur Linux. Par ailleurs, unconfined_u et root sont des utilisateurs non restreints. Pour ces raisons, les rôles associés à ces utilisateurs SELinux ne sont pas inclus dans le tableau suivant Types et accès aux rôles SELinux.
Chaque rôle SELinux correspond à un type SELinux et fournit des droits d'accès spécifiques.
| Rôle | Type | Connexion à l'aide du système X Window | su et sudo | Exécuter dans le répertoire personnel et à l'adresse /tmp (par défaut) | Mise en réseau |
|---|---|---|---|---|---|
|
|
| non | non | yes | non |
|
|
| yes | non | yes | navigateurs web uniquement (Firefox, GNOME Web) |
|
|
| yes | non | yes | yes |
|
|
| yes |
seulement | yes | yes |
|
|
| yes | yes | yes | |
|
|
| yes | yes | yes | |
|
|
|
uniquement lorsque le booléen | yes | yes | yes |
-
Par défaut, le rôle
sysadm_ra les droits du rôlesecadm_r, ce qui signifie qu'un utilisateur ayant le rôlesysadm_rpeut gérer la politique de sécurité. Si cela ne correspond pas à votre cas d'utilisation, vous pouvez séparer les deux rôles en désactivant le modulesysadm_secadmdans la politique. Pour plus d'informations, voir
Séparation de l'administration du système et de l'administration de la sécurité dans MLS
-
Les rôles sans login
dbadm_r,logadm_r, etwebadm_rpeuvent être utilisés pour un sous-ensemble de tâches administratives. Par défaut, ces rôles ne sont associés à aucun utilisateur SELinux.
