Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 6 章 限制用户

在 Red Hat Enterprise Linux 中,用户默认映射到 SELinux unconfined_u 用户。由 unconfined_u 运行的所有进程都位于 unconfined_t 域中。这意味着用户可以在标准 Linux DAC 策略限制范围内访问系统。然而,很多受限制的 SELinux 用户在 Red Hat Enterprise Linux 中可用。这意味着可以将用户限制为有限的能力集。每个 Linux 用户都使用 SELinux 策略映射到 SELinux 用户,允许 Linux 用户继承对 SELinux 用户的限制,例如(取决于用户),无法:
  • 运行 X Window 系统
  • 使用网络
  • 运行 setuid 应用程序(除非 SELinux 策略允许)
  • 或运行 susudo 命令。
例如,由 SELinux user_u 用户运行的进程位于 user_t 域中。这些进程可以连接到网络,但不能运行 susudo 命令。这有助于防止用户访问系统。有关受限制用户及其功能的详情,请查看 第 3.3 节 “受限制和未限制的用户” 表 3.1 “SELinux 用户功能”

6.1. Linux 和 SELinux 用户映射
复制链接

以 root 用户身份输入以下命令查看 Linux 用户与 SELinux 用户之间的映射: 
~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
system_u             system_u             s0-s0:c0.c1023       *
Copy to Clipboard Toggle word wrap
在 Red Hat Enterprise Linux 中,Linux 用户默认映射到 SELinux __default__ 登录(后者又映射到 SELinux unconfined_u 用户)。使用 useradd 命令创建 Linux 用户时,如果没有指定选项,则会将它们映射到 SELinux unconfined_u 用户。下面定义了 default-mapping: 
__default__          unconfined_u         s0-s0:c0.c1023       *
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat