红帽全球峰会第 6 章 限制用户
在 Red Hat Enterprise Linux 中,用户默认映射到 SELinux
例如,由 SELinux
unconfined_u 用户。由 unconfined_u 运行的所有进程都位于 unconfined_t 域中。这意味着用户可以在标准 Linux DAC 策略限制范围内访问系统。然而,很多受限制的 SELinux 用户在 Red Hat Enterprise Linux 中可用。这意味着可以将用户限制为有限的能力集。每个 Linux 用户都使用 SELinux 策略映射到 SELinux 用户,允许 Linux 用户继承对 SELinux 用户的限制,例如(取决于用户),无法:
- 运行 X Window 系统
- 使用网络
- 运行 setuid 应用程序(除非 SELinux 策略允许)
- 或运行 su 和 sudo 命令。
user_u 用户运行的进程位于 user_t 域中。这些进程可以连接到网络,但不能运行 su 或 sudo 命令。这有助于防止用户访问系统。有关受限制用户及其功能的详情,请查看 第 3.3 节 “受限制和未限制的用户” 表 3.1 “SELinux 用户功能”。
6.1. Linux 和 SELinux 用户映射
以 root 用户身份输入以下命令查看 Linux 用户与 SELinux 用户之间的映射:
~]# semanage login -l
Login Name SELinux User MLS/MCS Range Service
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
system_u system_u s0-s0:c0.c1023 *
在 Red Hat Enterprise Linux 中,Linux 用户默认映射到 SELinux
__default__ 登录(后者又映射到 SELinux unconfined_u 用户)。使用 useradd 命令创建 Linux 用户时,如果没有指定选项,则会将它们映射到 SELinux unconfined_u 用户。下面定义了 default-mapping:
__default__ unconfined_u s0-s0:c0.c1023 *
