Red Hat Summit Red Hat SummitSuporteConsoleDesenvolvedoresComeçar um testeContato

3.5. Configurando o sistema para confinar os usuários do SELinux

Por default, todos os usuários Linux no Red Hat Enterprise Linux, incluindo usuários com privilégios administrativos, são mapeados para o usuário SELinux não-confinado unconfined_u. Você pode melhorar a segurança do sistema designando usuários para usuários confinados ao SELinux. Isto é útil para estar em conformidade com o Guia de Implementação Técnica de Segurança V-71971. Para mais informações sobre usuários confinados e não-confinados, consulte Gerenciando usuários confinados e não-confinados.

3.5.1. Confinamento de usuários regulares
Copiar o link

Você pode confinar todos os usuários regulares em seu sistema, mapeando-os para o usuário do user_u SELinux.

Procedimento

  1. Exibir a lista de registros de login da SELinux. A lista exibe os mapeamentos dos usuários Linux para os usuários do SELinux: 

    # semanage login -l

Login Name    SELinux User  MLS/MCS Range   Service

__default__   unconfined_u  s0-s0:c0.c1023       *
root          unconfined_u  s0-s0:c0.c1023       *
    Copy to Clipboard Toggle word wrap

  2. Mapear o usuário __default__, que representa todos os usuários sem um mapeamento explícito, para o usuário do user_u SELinux: 

    # semanage login -m -s user_u -r s0 __default__
    Copy to Clipboard Toggle word wrap

Etapas de verificação

  1. Verifique se o usuário __default__ está mapeado para o usuário do user_u SELinux: 

    # semanage login -l

Login Name    SELinux User   MLS/MCS Range    Service

__default__   user_u         s0               *
root          unconfined_u   s0-s0:c0.c1023   *
    Copy to Clipboard Toggle word wrap

  2. Verificar se os processos de um novo usuário são executados no contexto do user_u:user_r:user_t:s0 SELinux.

    1. Criar um novo usuário: 

      # adduser example.user
      Copy to Clipboard Toggle word wrap

    2. Definir uma senha para example.user: 

      # passwd example.user
      Copy to Clipboard Toggle word wrap
    3. Sair como root e entrar como o novo usuário.

    4. Mostrar o contexto de segurança para a identificação do usuário: 

      [example.user@localhost ~]$ id -Z
user_u:user_r:user_t:s0
      Copy to Clipboard Toggle word wrap

    5. Mostrar o contexto de segurança dos processos atuais do usuário: 

      [example.user@localhost ~]$ ps axZ
LABEL                           PID TTY      STAT   TIME COMMAND
-                                 1 ?        Ss     0:05 /usr/lib/systemd/systemd --switched-root --system --deserialize 18
-                              3729 ?        S      0:00 (sd-pam)
user_u:user_r:user_t:s0        3907 ?        Ss     0:00 /usr/lib/systemd/systemd --user
-                              3911 ?        S      0:00 (sd-pam)
user_u:user_r:user_t:s0        3918 ?        S      0:00 sshd: example.user@pts/0
user_u:user_r:user_t:s0        3922 pts/0    Ss     0:00 -bash
user_u:user_r:user_dbusd_t:s0  3969 ?        Ssl    0:00 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only
user_u:user_r:user_t:s0        3971 pts/0    R+     0:00 ps axZ
      Copy to Clipboard Toggle word wrap
Voltar ao topo
Red Hat logoGithubredditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar. Explore nossas atualizações recentes.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja o Blog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

Theme

© 2025 Red Hat