Pesquisar

3.2. Capacidades do usuário SELinux

download PDF

A tabela a seguir fornece exemplos de domínios básicos confinados para usuários Linux no Red Hat Enterprise Linux:

Tabela 3.1. Capacidades do usuário SELinux
UsuárioPapelDomínioSistema Janela Xsu ou sudoExecutar no diretório home e /tmp (padrão)Trabalho em rede

sysadm_u

sysadm_r

sysadm_t

sim

su e sudo

sim

sim

staff_u

staff_r

pessoal_t

sim

somente sudo

sim

sim

user_u

user_r

user_t

sim

não

sim

sim

guest_u

guest_r

guest_t

não

não

sim

não

xguest_u

xguest_r

xguest_t

sim

não

sim

Somente Firefox

  • Os usuários do Linux nos domínios user_t, guest_t, e xguest_t só podem executar aplicações set user ID (setuid) se a política SELinux o permitir (por exemplo, passwd). Estes usuários não podem executar as aplicações setuid su e sudo, e, portanto, não podem usar estas aplicações para se tornarem root.
  • Os usuários do Linux nos domínios sysadm_t, staff_t, user_t, e xguest_t podem fazer login usando o Sistema X Window e um terminal.
  • Por padrão, os usuários do Linux nos domínios staff_t, user_t, guest_t, e xguest_t podem executar aplicações em seus diretórios domésticos e /tmp.

    Para impedi-los de executar aplicações, que herdam as permissões dos usuários, em diretórios aos quais eles têm acesso por escrito, configure o guest_exec_content e xguest_exec_content booleans para off. Isto ajuda a evitar que aplicações defeituosas ou maliciosas modifiquem os arquivos dos usuários.

  • Os únicos usuários de acesso à rede Linux no domínio xguest_t têm o Firefox conectando-se a páginas web.
  • O usuário sysadm_u não pode fazer o login diretamente usando SSH. Para ativar os logins do SSH para sysadm_u, defina o booleano ssh_sysadm_login para on:

    # setsebool -P ssh_sysadm_login on

Note que system_u é uma identidade especial de usuário para processos e objetos do sistema. Ela nunca deve ser associada a um usuário Linux. Além disso, unconfined_u e root são usuários não-confinados. Por estas razões, eles não estão incluídos na tabela anterior de capacidades de usuário do SELinux.

Além dos já mencionados usuários do SELinux, existem papéis especiais, que podem ser mapeados para aqueles usuários usando o comando semanage user. Estas funções determinam o que o SELinux permite que o usuário faça:

  • webadm_r só pode administrar os tipos SELinux relacionados ao Servidor HTTP Apache.
  • dbadm_r só pode administrar os tipos SELinux relacionados ao banco de dados MariaDB e ao sistema de gerenciamento de banco de dados PostgreSQL.
  • logadm_r só pode administrar os tipos de SELinux relacionados com os processos syslog e auditlog.
  • secadm_r só pode administrar a SELinux.
  • auditadm_r só pode administrar processos relacionados com o subsistema de Auditoria.

Para listar todas as funções disponíveis, digite o comando seinfo -r:

seinfo -r
Roles: 14
   auditadm_r
   dbadm_r
   guest_r
   logadm_r
   nx_server_r
   object_r
   secadm_r
   staff_r
   sysadm_r
   system_r
   unconfined_r
   user_r
   webadm_r
   xguest_r

Note que o comando seinfo é fornecido pelo pacote setools-console, que não é instalado por padrão.

Recursos adicionais

  • Para mais informações, consulte as páginas de manual seinfo(1), semanage-login(8) e xguest_selinux(8).
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.