3.2. Capacidades do usuário SELinux
A tabela a seguir fornece exemplos de domínios básicos confinados para usuários Linux no Red Hat Enterprise Linux:
Usuário | Papel | Domínio | Sistema Janela X | su ou sudo | Executar no diretório home e /tmp (padrão) | Trabalho em rede |
---|---|---|---|---|---|---|
sysadm_u | sysadm_r | sysadm_t | sim | su e sudo | sim | sim |
staff_u | staff_r | pessoal_t | sim | somente sudo | sim | sim |
user_u | user_r | user_t | sim | não | sim | sim |
guest_u | guest_r | guest_t | não | não | sim | não |
xguest_u | xguest_r | xguest_t | sim | não | sim | Somente Firefox |
-
Os usuários do Linux nos domínios
user_t
,guest_t
, exguest_t
só podem executar aplicações set user ID (setuid) se a política SELinux o permitir (por exemplo,passwd
). Estes usuários não podem executar as aplicações setuidsu
esudo
, e, portanto, não podem usar estas aplicações para se tornarem root. -
Os usuários do Linux nos domínios
sysadm_t
,staff_t
,user_t
, exguest_t
podem fazer login usando o Sistema X Window e um terminal. Por padrão, os usuários do Linux nos domínios
staff_t
,user_t
,guest_t
, exguest_t
podem executar aplicações em seus diretórios domésticos e/tmp
.Para impedi-los de executar aplicações, que herdam as permissões dos usuários, em diretórios aos quais eles têm acesso por escrito, configure o
guest_exec_content
exguest_exec_content
booleans paraoff
. Isto ajuda a evitar que aplicações defeituosas ou maliciosas modifiquem os arquivos dos usuários.-
Os únicos usuários de acesso à rede Linux no domínio
xguest_t
têm o Firefox conectando-se a páginas web. O usuário
sysadm_u
não pode fazer o login diretamente usando SSH. Para ativar os logins do SSH parasysadm_u
, defina o booleanossh_sysadm_login
paraon
:# setsebool -P ssh_sysadm_login on
Note que system_u
é uma identidade especial de usuário para processos e objetos do sistema. Ela nunca deve ser associada a um usuário Linux. Além disso, unconfined_u
e root
são usuários não-confinados. Por estas razões, eles não estão incluídos na tabela anterior de capacidades de usuário do SELinux.
Além dos já mencionados usuários do SELinux, existem papéis especiais, que podem ser mapeados para aqueles usuários usando o comando semanage user
. Estas funções determinam o que o SELinux permite que o usuário faça:
-
webadm_r
só pode administrar os tipos SELinux relacionados ao Servidor HTTP Apache. -
dbadm_r
só pode administrar os tipos SELinux relacionados ao banco de dados MariaDB e ao sistema de gerenciamento de banco de dados PostgreSQL. -
logadm_r
só pode administrar os tipos de SELinux relacionados com os processossyslog
eauditlog
. -
secadm_r
só pode administrar a SELinux. -
auditadm_r
só pode administrar processos relacionados com o subsistema de Auditoria.
Para listar todas as funções disponíveis, digite o comando seinfo -r
:
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
Note que o comando seinfo
é fornecido pelo pacote setools-console
, que não é instalado por padrão.
Recursos adicionais
-
Para mais informações, consulte as páginas de manual
seinfo(1)
,semanage-login(8)
exguest_selinux(8)
.