6.2. 安全性
使用 ip vrf 管理虚拟路由的规则被添加到 SELinux 策略中
您可以使用 ip vrf 命令管理其他网络服务的虚拟路由。在以前的版本中,selinux-policy 不包含支持此用法的规则。有了此更新,SELinux 策略规则允许从 ip 域到 httpd、sshd 和 named 域的显式转换。当 ip 命令使用 setexeccon 库调用时,这些转换适用。
Jira:RHEL-9981[1]
SELinux 策略允许 staff_r 受限用户运行 sudo crontab
在以前的版本中,SELinux 策略不包含允许受限用户运行 sudo crontab 命令的规则。因此,staff_r 角色中的受限用户无法使用 sudo crontab 编辑其他用户的 crontab 计划。此更新向策略添加了一个规则,因此 staff_r 用户可以使用 sudo crontab 编辑其他用户的 crontab 计划。
SELinux 策略包含其他服务和应用程序的规则
这个 selinux-policy 软件包版本包含其它规则。最值得注意的是,sysadm_r 角色中的用户可以输入以下命令:
-
sudo traceroute -
sudo tcpdump -
sudo dnf
Jira:RHEL-15398, Jira:RHEL-1679, Jira:RHEL-9947
当 unconfined_login 设为 off 时,SELinux 策略拒绝非受限用户的 SSH 登录
在以前的版本中,当 unconfined_login 布尔值被设置为 off 时,SELinux 策略缺少一条拒绝非受限用户通过 SSH 登录的规则。因此,如果 unconfined_login 设为 off,用户仍然可以使用 SSHD 作为非受限域来登录。此更新向 SELinux 策略中添加了一条规则,因此,当 unconfined_login 为 off 时,用户无法通过 sshd 作为受限来登录。
SELinux 策略允许 rsyslogd 输入受限命令
在以前的版本中,SELinux 策略缺少允许 rsyslogd 守护进程进入 SELinuxconfined 命令的规则,如 systemctl。因此,作为 omprog 指令的参数执行的命令失败。此更新向 SELinux 策略中添加规则,以便作为 omprog 的参数运行的 /usr/libexec/rsyslog 目录中的可执行文件位于 syslogd_unconfined_script_t 非受限域中。因此,作为 omprog 的参数执行的命令成功完成。
大型 SSHD 配置文件不再阻止登录
在以前的版本中,当 SSHD 配置文件大于 256 KB 时,在登录到系统时会出现一个错误。因此,远程系统无法访问。此更新删除了文件大小限制,因此在 SSHD 配置文件大于 256 KB 时,用户可以登录到系统。
