3.4. SELinux 中受限的管理员角色
在 SELinux 中,受限制的管理员角色将执行特定任务的特定的特权和权限集合授权给分配给它们的 Linux 用户。通过分配单独的受限制的管理员角色,您可以将不同系统管理域上的权限划分给单个用户。这在有多个管理员的情况下很有用,每个管理员都有单独的域。
您可以使用 semanage user 命令将这些角色分配给 SELinux 用户。
SELinux 有以下受限制的管理员角色:
auditadm_r审计管理员角色允许管理与审计子系统相关的进程。
相关的布尔值:
SELinux boolean State Default Description auditadm_exec_content (on , on) Allow auditadm to exec content
dbadm_r数据库管理员角色允许管理 MariaDB 和 PostgreSQL 数据库。
相关的布尔值:
SELinux boolean State Default Description dbadm_exec_content (on , on) Allow dbadm to exec content dbadm_manage_user_files (off , off) Determine whether dbadm can manage generic user files. dbadm_read_user_files (off , off) Determine whether dbadm can read generic user files.
logadm_r日志管理员角色允许管理日志,特别是与 Rsyslog 日志记录服务和审计子系统相关的 SELinux 类型。
相关的布尔值:
SELinux boolean State Default Description logadm_exec_content (on , on) Allow logadm to exec content
webadm_rWeb 管理员允许管理 Apache HTTP 服务器。
相关的布尔值:
SELinux boolean State Default Description webadm_manage_user_files (off , off) Determine whether webadm can manage generic user files. webadm_read_user_files (off , off) Determine whether webadm can read generic user files.
secadm_r安全管理员角色允许管理 SELinux 数据库。
相关的布尔值:
SELinux boolean State Default Description secadm_exec_content (on , on) Allow secadm to exec content
sysadm_r系统管理员角色允许执行之前列出的角色的任何操作,并具有额外的特权。在非默认配置中,可以通过在 SELinux 策略中禁用
sysadm_secadm模块来将安全管理与系统管理分开。具体步骤请参阅 MLS 中的从安全管理分离系统管理。sysadm_u用户无法使用 SSH 直接登录。要为sysadm_u启用 SSH 登录,请将ssh_sysadm_login布尔值设置为on:# setsebool -P ssh_sysadm_login on相关的布尔值:
SELinux boolean State Default Description ssh_sysadm_login (on , on) Allow ssh logins as sysadm_r:sysadm_t sysadm_exec_content (on , on) Allow sysadm to exec content xdm_sysadm_login (on , on) Allow the graphical login program to login directly as sysadm_r:sysadm_t
其他资源
- 要将 Linux 用户分配给受限管理员角色,请参阅通过 映射到 sysadm_u 来限制管理员。
有关每个角色以及相关类型的详情,请查看
selinux-policy-doc软件包安装的相关手册页:auditadm_selinux (8),dbadm_selinux (8),logadm_selinux (8),webadm_selinux (8),secadm_selinux (8), 和sysadm_selinux (8)
