红帽全球峰会6.8. 在 MLS 中将系统管理与安全管理分离
默认情况下,sysadm_r 角色具有 secadm_r 角色的权限,这意味着具有 sysadm_r 角色的用户可以管理安全策略。如果需要对安全授权进行更多控制,您可以通过将 Linux 用户分配给 secadm_r 角色并在 SELinux 策略中禁用 sysadm_secadm 模块将系统管理与安全管理分开。
先决条件
-
SELinux 策略被设置为
mls。 -
SELinux 模式设置为
enforcing。 -
已安装
policycoreutils-python-utils软件包。 分配给
secadm_r角色的 Linux 用户:-
该用户被分配给
staff_uSELinux 用户 - 定义了此用户的密码。
警告确保您可以以用户 身份登录,这将分配给
secadm角色。如果不能,您可以防止以后修改系统的 SELinux 策略。-
该用户被分配给
步骤
为用户在
/etc/sudoers.d目录中创建一个新的sudoers文件:visudo -f /etc/sudoers.d/<sec_adm_user>
# visudo -f /etc/sudoers.d/<sec_adm_user>Copy to Clipboard Copied! 为保持
sudoers文件的组织,请<sec_adm_user>替换为将分配给secadm角色的 Linux 用户。在
/etc/sudoers.d/<sec_adm_user>文件中添加以下内容:<sec_adm_user> ALL=(ALL) TYPE=secadm_t ROLE=secadm_r ALL
<sec_adm_user> ALL=(ALL) TYPE=secadm_t ROLE=secadm_r ALLCopy to Clipboard Copied! 此行授权所有主机上的
<secadmuser>用户执行所有命令,并默认将用户映射到secadmSELinux 类型和角色。以 <sec_adm_user> 用户身份登录。
要确保 SELinux 上下文(由 SELinux 用户、角色和类型组成)已更改,请使用
ssh、控制台或xdm登录。su和sudo等其他方法无法更改整个 SELinux 上下文。验证用户的安全上下文:
id
$ id uid=1000(<sec_adm_user>) gid=1000(<sec_adm_user>) groups=1000(<sec_adm_user>) context=staff_u:staff_r:staff_t:s0-s15:c0.c1023Copy to Clipboard Copied! 为 root 用户运行交互式 shell:
sudo -i
$ sudo -i [sudo] password for <sec_adm_user>:Copy to Clipboard Copied! 验证当前用户的安全上下文:
id
# id uid=0(root) gid=0(root) groups=0(root) context=staff_u:secadm_r:secadm_t:s0-s15:c0.c1023Copy to Clipboard Copied! 从策略中禁用
sysadm_secadm模块:semodule -d sysadm_secadm
# semodule -d sysadm_secadmCopy to Clipboard Copied! 重要使用
semodule -d命令,而不是使用semodule -r命令删除系统策略模块。semodule -r命令从您的系统存储中删除模块,这意味着无法重新安装selinux-policy-mls软件包。
验证
作为分配给
secadm角色的用户,并在 root 用户的交互式 shell 中验证您可以访问安全策略数据:seinfo -xt secadm_t
# seinfo -xt secadm_t Types: 1 type secadm_t, can_relabelto_shadow_passwords, (…) userdomain;Copy to Clipboard Copied! 从 root shell 注销:
logout
# logoutCopy to Clipboard Copied! 登出
<sec_adm_user>用户:logout
$ logout Connection to localhost closed.Copy to Clipboard Copied! 显示当前安全上下文:
id
# id uid=0(root) gid=0(root) groups=0(root) context=root:sysadm_r:sysadm_t:s0-s15:c0.c1023Copy to Clipboard Copied! 尝试启用
sysadm_secadm模块。该命令应该失败:semodule -e sysadm_secadm
# semodule -e sysadm_secadm SELinux: Could not load policy file /etc/selinux/mls/policy/policy.31: Permission denied /sbin/load_policy: Can't load policy: Permission denied libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory). SELinux: Could not load policy file /etc/selinux/mls/policy/policy.31: Permission denied /sbin/load_policy: Can't load policy: Permission denied libsemanage.semanage_reload_policy: load_policy returned error code 2. (No such file or directory). semodule: Failed!Copy to Clipboard Copied! 尝试显示有关
sysadm_tSELinux 类型的详情。该命令应该失败:seinfo -xt sysadm_t
# seinfo -xt sysadm_t [Errno 13] Permission denied: '/sys/fs/selinux/policy'Copy to Clipboard Copied!
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}