3.2. SELinux 用户的角色和权限


SELinux 策略将每个 Linux 用户映射到 SELinux 用户。这允许 Linux 用户继承 SELinux 用户的限制。

您可以通过调整策略中的布尔值来自定义 SELinux 策略中受限用户的权限。您可以使用 semanage boolean -l 命令确定这些布尔值的当前状态。要列出所有 SELinux 用户、其 SELinux 角色以及 MLS 和 MCS 的级别和范围,请以 root 用户身份使用 semanage user -l 命令。

表 3.1. SELinux 用户的角色
User默认角色其他角色

unconfined_u

unconfined_r

system_r

guest_u

guest_r

 

xguest_u

xguest_r

 

user_u

user_r

 

staff_u

staff_r

sysadm_r

unconfined_r

system_r

sysadm_u

sysadm_r

 

root

staff_r

sysadm_r

unconfined_r

system_r

system_u

system_r

 

请注意,system_u 是系统进程和对象的特殊用户身份,system_r 是关联的角色。管理员不得将这个 system_u 用户和 system_r 角色关联到 Linux 用户。另外,unconfined_uroot 是没有限制的用户。因此,与这些 SELinux 用户关联的角色不会包含在下表 SELinux 角色的类型和访问权限 中。

每个 SELinux 角色都与 SELinux 类型对应,并提供特定的访问权限。

表 3.2. SELinux 角色的类型和访问权限
RoleType使用 X Window 系统登录susudo在主目录和 /tmp 中执行(默认)Networking

unconfined_r

unconfined_t

guest_r

guest_t

xguest_r

xguest_t

仅限 web 浏览器(Mozilla Firefox、GNOME Web)

user_r

user_t

staff_r

staff_t

sudo

auditadm_r

auditadm_t

 

dbadm_r

dbadm_r

 

logadm_r

logadm_t

 

webadm_r

webadm_r

 

secadm_r

secadm_t

 

sysadm_r

sysadm_t

仅在 xdm_sysadm_login 布尔值为 on

有关非管理员用户角色的更详细描述,请参阅 SELinux 中被限制的非管理员用户角色

有关管理员角色的更详细描述,请参阅 SELinux 中受限的管理员角色

要列出所有可用角色,请输入 seinfo -r 命令:

seinfo -r
Roles: 14
   auditadm_r
   dbadm_r
   guest_r
   logadm_r
   nx_server_r
   object_r
   secadm_r
   staff_r
   sysadm_r
   system_r
   unconfined_r
   user_r
   webadm_r
   xguest_r

请注意,seinfo 命令由 setools-console 软件包提供,该软件包默认不会安装。

其他资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.