3.8. 通过映射到 sysadm_u 来限制管理员

流程

1. 可选：要允许 sysadm_u 用户使用 SSH 连接到系统：

   # setsebool -P ssh_sysadm_login on

   Copy to Clipboard Toggle word wrap

2. 将一个新用户或现有用户映射到 sysadm_u SELinux 用户：

   • 要映射新用户，请将新用户添加到 wheel 用户组中，并将用户映射到 sysadm_u SELinux 用户：

     # adduser -G wheel -Z sysadm_u <example_user>

     Copy to Clipboard Toggle word wrap

   • 要映射现有用户，请将用户添加到 wheel 用户组中，并将用户映射到 sysadm_u SELinux 用户：

     # usermod -G wheel -Z sysadm_u <example_user>

     Copy to Clipboard Toggle word wrap

3. 恢复用户主目录的上下文：

   # restorecon -R -F -v /home/<example_user>

   Copy to Clipboard Toggle word wrap

验证

1. 检查 <example_user> 是否被映射到 sysadm_u SELinux 用户：

   # semanage login -l | grep <example_user>
   <example_user>     sysadm_u    s0-s0:c0.c1023   *

   Copy to Clipboard Toggle word wrap

2. 以 <example_user> 身份登录，例如使用 SSH，并显示用户的安全上下文：

   [<example_user>@localhost ~]$ id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

   Copy to Clipboard Toggle word wrap

3. 切换到 root 用户：

   $ sudo -i
   [sudo] password for <example_user>:

   Copy to Clipboard Toggle word wrap

4. 验证安全性上下文是否保持不变：

   # id -Z
   sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

   Copy to Clipboard Toggle word wrap

5. 尝试管理任务，例如重启 sshd 服务：

   # systemctl restart sshd

   Copy to Clipboard Toggle word wrap

   如果没有输出结果，则代表命令可以成功完成。

   如果该命令没有成功完成，它会输出以下信息：

   Failed to restart sshd.service: Access denied
   See system logs and 'systemctl status sshd.service' for details.

   Copy to Clipboard Toggle word wrap