Red Hat Training

A Red Hat training course is available for RHEL 8

3.2. Capacidades de los usuarios de SELinux

La siguiente tabla proporciona ejemplos de dominios confinados básicos para usuarios de Linux en Red Hat Enterprise Linux:

Tabla 3.1. Capacidades de los usuarios de SELinux

UsuarioPapelDominioSistema X Windowsu o sudoEjecutar en el directorio principal y en /tmp (por defecto)Red

sysadm_u

sysadm_r

sysadm_t

su y sudo

staff_u

staff_r

staff_t

sólo sudo

usuario_u

usuario_r

usuario_t

no

guest_u

guest_r

guest_t

no

no

no

xguest_u

xguest_r

xguest_t

no

Sólo para Firefox

  • Los usuarios de Linux en los dominios user_t, guest_t, y xguest_t sólo pueden ejecutar aplicaciones setuid si la política SELinux lo permite (por ejemplo, passwd). Estos usuarios no pueden ejecutar las aplicaciones setuid de su y sudo, y por lo tanto no pueden usar estas aplicaciones para convertirse en root.
  • Los usuarios de Linux en los dominios sysadm_t, staff_t, user_t, y xguest_t pueden conectarse utilizando el sistema X Window y un terminal.
  • Por defecto, los usuarios de Linux en los dominios staff_t, user_t, guest_t, y xguest_t pueden ejecutar aplicaciones en sus directorios personales y /tmp.

    Para evitar que ejecuten aplicaciones, que heredan los permisos de los usuarios, en directorios a los que tienen acceso de escritura, establezca los booleanos guest_exec_content y xguest_exec_content en off. Esto ayuda a evitar que aplicaciones defectuosas o maliciosas modifiquen los archivos de los usuarios.

  • El único acceso a la red que tienen los usuarios de Linux en el dominio xguest_t es Firefox para conectarse a las páginas web.
  • El usuario sysadm_u no puede iniciar sesión directamente utilizando SSH. Para habilitar los inicios de sesión SSH para sysadm_u, establezca el booleano ssh_sysadm_login en on:

    # setsebool -P ssh_sysadm_login on

Tenga en cuenta que system_u es una identidad de usuario especial para los procesos y objetos del sistema. Nunca debe asociarse a un usuario de Linux. Además, unconfined_u y root son usuarios no confinados. Por estas razones, no están incluidos en la tabla anterior de capacidades de usuario de SELinux.

Junto con los usuarios de SELinux ya mencionados, hay roles especiales, que pueden ser asignados a esos usuarios usando el comando semanage user. Estos roles determinan lo que SELinux permite hacer al usuario:

  • webadm_r sólo puede administrar los tipos de SELinux relacionados con el servidor HTTP Apache.
  • dbadm_r sólo puede administrar tipos de SELinux relacionados con la base de datos MariaDB y el sistema de gestión de bases de datos PostgreSQL.
  • logadm_r sólo puede administrar los tipos de SELinux relacionados con los procesos syslog y auditlog.
  • secadm_r sólo puede administrar SELinux.
  • auditadm_r sólo puede administrar los procesos relacionados con el subsistema de Auditoría.

Para listar todos los roles disponibles, introduzca el comando seinfo -r:

seinfo -r
Roles: 14
   auditadm_r
   dbadm_r
   guest_r
   logadm_r
   nx_server_r
   object_r
   secadm_r
   staff_r
   sysadm_r
   system_r
   unconfined_r
   user_r
   webadm_r
   xguest_r

Tenga en cuenta que el comando seinfo lo proporciona el paquete setools-console, que no está instalado por defecto.

Recursos adicionales

  • Para más información, consulte las páginas de manual seinfo(1), semanage-login(8), y xguest_selinux(8).