3.5.2. Confinamento de usuários administradores
Você pode usar um dos dois métodos a seguir para confinar os usuários administradores.
3.5.2.1. Confinando um administrador através do mapeamento ao sysadm_u
Você pode confinar um usuário com privilégios administrativos mapeando o usuário diretamente para o usuário do sysadm_u
SELinux. Quando o usuário faz o login, a sessão é executada no contexto sysadm_u:sysadm_r:sysadm_t
SELinux.
Pré-requisitos
-
O usuário do site
root
funciona de forma não confinada. Este é o default do Red Hat Enterprise Linux.
Procedimento
Opcional: Para permitir aos usuários do
sysadm_u
conectarem-se ao sistema usando SSH:# setsebool -P ssh_sysadm_login on
Criar um novo usuário, adicionar o usuário ao grupo de usuários
wheel
e mapear o usuário para o usuáriosysadm_u
SELinux:# adduser -G wheel -Z sysadm_u example.user
Opcional: Mapear um usuário existente para o usuário
sysadm_u
SELinux e adicionar o usuário ao grupo de usuárioswheel
:# usermod -G wheel -Z sysadm_u example.user
Etapas de verificação
Verifique se
example.user
é mapeado para o usuário dosysadm_u
SELinux:# semanage login -l | grep example.user example.user sysadm_u s0-s0:c0.c1023 *
Entrar como
example.user
por exemplo, usando SSH, e mostrar o contexto de segurança do usuário:[example.user@localhost ~]$ id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
Mude para o usuário do site
root
:$ sudo -i [sudo] password for example.user:
Verificar que o contexto de segurança permaneça inalterado:
# id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
Tente uma tarefa administrativa, por exemplo, reiniciar o serviço
sshd
:# systemctl restart sshd
Se não houver saída, o comando terminou com sucesso.
Se o comando não terminar com sucesso, ele imprime a seguinte mensagem:
Failed to restart sshd.service: Access denied See system logs and 'systemctl status sshd.service' for details.