6.3. 安全性

使用 ip vrf 管理虚拟路由的规则被添加到 SELinux 策略中

您可以使用 ip vrf 命令管理其他网络服务的虚拟路由。在以前的版本中，selinux-policy 不包含支持此用法的规则。有了此更新，SELinux 策略规则允许从 ip 域到 httpd、sshd 和 named 域的显式转换。当 ip 命令使用 setexeccon 库调用时，这些转换适用。

SELinux 策略允许 staff_r 受限用户运行 sudo crontab

在以前的版本中，SELinux 策略不包含允许受限用户运行 sudo crontab 命令的规则。因此，staff_r 角色中的受限用户无法使用 sudo crontab 编辑其他用户的 crontab 计划。此更新向策略添加了一个规则，因此 staff_r 用户可以使用 sudo crontab 编辑其他用户的 crontab 计划。

SELinux 策略包含其他服务和应用程序的规则

这个 selinux-policy 软件包版本包含其它规则。最值得注意的是，sysadm_r 角色中的用户可以输入以下命令：

当 unconfined_login 设为 off 时，SELinux 策略拒绝非受限用户的 SSH 登录

在以前的版本中，当 unconfined_login 布尔值被设置为 off 时，SELinux 策略缺少一条拒绝非受限用户通过 SSH 登录的规则。因此，如果 unconfined_login 设为 off，用户仍然可以使用 SSHD 作为非受限域来登录。此更新向 SELinux 策略中添加了一条规则，因此，当 unconfined_login 为 off 时，用户无法通过 sshd 作为受限来登录。

SELinux 策略允许 rsyslogd 输入受限命令

在以前的版本中，SELinux 策略缺少允许 rsyslogd 守护进程进入 SELinuxconfined 命令的规则，如 systemctl。因此，作为 omprog 指令的参数执行的命令失败。此更新向 SELinux 策略中添加规则，以便作为 omprog 的参数运行的 /usr/libexec/rsyslog 目录中的可执行文件位于 syslogd_unconfined_script_t 非受限域中。因此，作为 omprog 的参数执行的命令成功完成。

大型 SSHD 配置文件不再阻止登录

在以前的版本中，当 SSHD 配置文件大于 256 KB 时，在登录到系统时会出现一个错误。因此，远程系统无法访问。此更新删除了文件大小限制，因此在 SSHD 配置文件大于 256 KB 时，用户可以登录到系统。