Red Hat Training

A Red Hat training course is available for RHEL 8

44.17.2. Configuración de las opciones de la lista de permisos de bloqueo mediante la CLI

La lista de permisos de bloqueo puede contener comandos, contextos de seguridad, usuarios e identificaciones de usuario. Si la entrada de un comando en la lista permitida termina con un asterisco "*", entonces todas las líneas de comando que comiencen con ese comando coincidirán. Si el asterisco "*" no está ahí, entonces el comando absoluto, incluyendo los argumentos, debe coincidir.

  • El contexto es el contexto de seguridad (SELinux) de una aplicación o servicio en ejecución. Para obtener el contexto de una aplicación en ejecución utilice el siguiente comando:

    $ ps -e --context

    Este comando devuelve todas las aplicaciones en ejecución. Pase la salida por la herramienta grep para obtener la aplicación que le interesa. Por ejemplo:

    $ ps -e --context | grep ejemplo_programa
  • Para listar todas las líneas de comandos que están en la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --list-lockdown-whitelist-commands
  • Para añadir un comando command a la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • Para eliminar un comando command de la lista permitida, introduzca el siguiente comando como root:

    # firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • Para consultar si el comando command está en la lista permitida, introduzca el siguiente comando como root:

    # firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

    El comando imprime yes con el estado de salida 0 si es verdadero. Imprime no con el estado de salida 1 en caso contrario.

  • Para listar todos los contextos de seguridad que están en la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --list-lockdown-whitelist-contexts
  • Para añadir un contexto context a la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --add-lockdown-whitelist-context=contexto
  • Para eliminar un contexto context de la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --remove-lockdown-whitelist-context=contexto
  • Para consultar si el contexto context está en la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --query-lockdown-whitelist-context=contexto

    Imprime yes con el estado de salida 0, si es verdadero, imprime no con el estado de salida 1 en caso contrario.

  • Para listar todos los ID de usuario que están en la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --list-lockdown-whitelist-uids
  • Para añadir un ID de usuario uid a la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --add-lockdown-whitelist-uid=uid
  • Para eliminar un ID de usuario uid de la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --remove-lockdown-whitelist-uid=uid
  • Para consultar si el ID de usuario uid está en la lista de permitidos, introduzca el siguiente comando:

    $ firewall-cmd --query-lockdown-whitelist-uid=uid

    Imprime yes con el estado de salida 0, si es verdadero, imprime no con el estado de salida 1 en caso contrario.

  • Para listar todos los nombres de usuario que están en la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --list-lockdown-whitelist-users
  • Para añadir un nombre de usuario user a la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --add-lockdown-whitelist-user=user
  • Para eliminar un nombre de usuario user de la lista de permitidos, introduzca el siguiente comando como root:

    # firewall-cmd --remove-lockdown-whitelist-user=user
  • Para consultar si el nombre de usuario user está en la lista de permitidos, introduzca el siguiente comando:

    $ firewall-cmd --query-lockdown-whitelist-user=user

    Imprime yes con el estado de salida 0, si es verdadero, imprime no con el estado de salida 1 en caso contrario.