Pesquisar

3.5.2. Confinamento de usuários administradores

download PDF

Você pode usar um dos dois métodos a seguir para confinar os usuários administradores.

3.5.2.1. Confinando um administrador através do mapeamento ao sysadm_u

Você pode confinar um usuário com privilégios administrativos mapeando o usuário diretamente para o usuário do sysadm_u SELinux. Quando o usuário faz o login, a sessão é executada no contexto sysadm_u:sysadm_r:sysadm_t SELinux.

Pré-requisitos

  • O usuário do site root funciona de forma não confinada. Este é o default do Red Hat Enterprise Linux.

Procedimento

  1. Opcional: Para permitir aos usuários do sysadm_u conectarem-se ao sistema usando SSH:

    # setsebool -P ssh_sysadm_login on
  2. Criar um novo usuário, adicionar o usuário ao grupo de usuários wheel e mapear o usuário para o usuário sysadm_u SELinux:

    # adduser -G wheel -Z sysadm_u example.user
  3. Opcional: Mapear um usuário existente para o usuário sysadm_u SELinux e adicionar o usuário ao grupo de usuários wheel:

    # usermod -G wheel -Z sysadm_u example.user

Etapas de verificação

  1. Verifique se example.user é mapeado para o usuário do sysadm_u SELinux:

    # semanage login -l | grep example.user
    example.user     sysadm_u    s0-s0:c0.c1023   *
  2. Entrar como example.userpor exemplo, usando SSH, e mostrar o contexto de segurança do usuário:

    [example.user@localhost ~]$ id -Z
    sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
  3. Mude para o usuário do site root:

    $ sudo -i
    [sudo] password for example.user:
  4. Verificar que o contexto de segurança permaneça inalterado:

    # id -Z
    sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
  5. Tente uma tarefa administrativa, por exemplo, reiniciar o serviço sshd:

    # systemctl restart sshd

    Se não houver saída, o comando terminou com sucesso.

    Se o comando não terminar com sucesso, ele imprime a seguinte mensagem:

    Failed to restart sshd.service: Access denied
    See system logs and 'systemctl status sshd.service' for details.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.