3.5.2. Confinamento de usuários administradores

Procedimento

1. Opcional: Para permitir aos usuários do sysadm_u conectarem-se ao sistema usando SSH:

   # setsebool -P ssh_sysadm_login on

   Copy to Clipboard Toggle word wrap

2. Criar um novo usuário, adicionar o usuário ao grupo de usuários wheel e mapear o usuário para o usuário sysadm_u SELinux:

   # adduser -G wheel -Z sysadm_u example.user

   Copy to Clipboard Toggle word wrap

3. Opcional: Mapear um usuário existente para o usuário sysadm_u SELinux e adicionar o usuário ao grupo de usuários wheel:

   # usermod -G wheel -Z sysadm_u example.user

   Copy to Clipboard Toggle word wrap

Etapas de verificação

1. Verifique se example.user é mapeado para o usuário do sysadm_u SELinux:

   # semanage login -l | grep example.user
   example.user     sysadm_u    s0-s0:c0.c1023   *

   Copy to Clipboard Toggle word wrap

2. Entrar como example.userpor exemplo, usando SSH, e mostrar o contexto de segurança do usuário:

   [example.user@localhost ~]$ id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

   Copy to Clipboard Toggle word wrap

3. Mude para o usuário do site root:

   $ sudo -i
   [sudo] password for example.user:

   Copy to Clipboard Toggle word wrap

4. Verificar que o contexto de segurança permaneça inalterado:

   # id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

   Copy to Clipboard Toggle word wrap

5. Tente uma tarefa administrativa, por exemplo, reiniciar o serviço sshd:

   # systemctl restart sshd

   Copy to Clipboard Toggle word wrap

   Se não houver saída, o comando terminou com sucesso.

   Se o comando não terminar com sucesso, ele imprime a seguinte mensagem:

   Failed to restart sshd.service: Access denied
   See system logs and 'systemctl status sshd.service' for details.

   Copy to Clipboard Toggle word wrap