3.2. SELinux 用户的角色和权限
SELinux 策略将每个 Linux 用户映射到 SELinux 用户。这允许 Linux 用户继承 SELinux 用户的限制。
您可以通过调整策略中的布尔值来自定义 SELinux 策略中受限用户的权限。您可以使用 semanage boolean -l
命令确定这些布尔值的当前状态。要列出所有 SELinux 用户、其 SELinux 角色以及 MLS 和 MCS 的级别和范围,请以 root
用户身份使用 semanage user -l
命令。
User | 默认角色 | 其他角色 |
---|---|---|
|
|
|
|
| |
|
| |
|
| |
|
|
|
| ||
| ||
|
| |
|
|
|
| ||
| ||
|
|
请注意,system_u
是系统进程和对象的特殊用户身份,system_r
是关联的角色。管理员不得将这个 system_u
用户和 system_r
角色关联到 Linux 用户。另外,unconfined_u
和 root
是没有限制的用户。因此,与这些 SELinux 用户关联的角色不会包含在下表 SELinux 角色的类型和访问权限 中。
每个 SELinux 角色都与 SELinux 类型对应,并提供特定的访问权限。
Role | Type | 使用 X Window 系统登录 | su 和 sudo | 在主目录和 /tmp 中执行(默认) | Networking |
---|---|---|---|---|---|
|
| 是 | 是 | 是 | 是 |
|
| 否 | 否 | 是 | 否 |
|
| 是 | 否 | 是 | 仅限 web 浏览器(Mozilla Firefox、GNOME Web) |
|
| 是 | 否 | 是 | 是 |
|
| 是 |
仅 | 是 | 是 |
|
| 是 | 是 | 是 | |
|
| 是 | 是 | 是 | |
|
| 是 | 是 | 是 | |
|
| 是 | 是 | 是 | |
|
| 是 | 是 | 是 | |
|
|
仅在 | 是 | 是 | 是 |
有关非管理员用户角色的更详细描述,请参阅 SELinux 中被限制的非管理员用户角色。
有关管理员角色的更详细描述,请参阅 SELinux 中受限的管理员角色。
要列出所有可用角色,请输入 seinfo -r
命令:
$ seinfo -r
Roles: 14
auditadm_r
dbadm_r
guest_r
logadm_r
nx_server_r
object_r
secadm_r
staff_r
sysadm_r
system_r
unconfined_r
user_r
webadm_r
xguest_r
请注意,seinfo
命令由 setools-console
软件包提供,该软件包默认不会安装。
其他资源
-
通过
selinux-policy-doc
软件包安装的seinfo (1)
,semanage-login (8)
和xguest_selinux (8)
手册页 - 如何使用布尔值修改 SELinux 设置