Red Hat Training
A Red Hat training course is available for RHEL 8
3.6. 一般ユーザーの設定
SELinux ユーザー user_u にマッピングすることで、システムのすべての一般ユーザーを制限できます。
デフォルトでは、管理者権限を持つユーザーを含め、Red Hat Enterprise Linux のすべての Linux ユーザーは、制限のない SELinux ユーザー unconfined_u にマッピングされます。SELinux の制限のあるユーザーにユーザーを割り当てることで、システムのセキュリティーを強化できます。これは、V-71971 Security Technical Implementation Guide に準拠するのに役立ちます。
手順
SELinux ログインレコードの一覧を表示します。この一覧には、SELinux ユーザーへの Linux ユーザーのマッピングが表示されます。
# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ unconfined_u s0-s0:c0.c1023 * root unconfined_u s0-s0:c0.c1023 *明示的なマッピングのないすべてのユーザーを表す __default__ ユーザーを、SELinux ユーザー
user_uにマッピングします。# semanage login -m -s user_u -r s0 __default__
検証
_default__ ユーザーが、SELinux ユーザー
user_uにマッピングされていることを確認します。# semanage login -l Login Name SELinux User MLS/MCS Range Service __default__ user_u s0 * root unconfined_u s0-s0:c0.c1023 *新規ユーザーのプロセスが SELinux コンテキスト
user_u:user_r:user_t:s0で実行されることを確認します。新しいユーザーを作成します。
# adduser example.userexample.user のパスワードを定義します。
# passwd example.user-
rootとしてログアウトし、新規ユーザーとしてログインします。 ユーザーの ID のセキュリティーコンテキストを表示します。
[example.user@localhost ~]$ id -Z user_u:user_r:user_t:s0
ユーザーの現在のプロセスのセキュリティーコンテキストを表示します。
[example.user@localhost ~]$ ps axZ LABEL PID TTY STAT TIME COMMAND - 1 ? Ss 0:05 /usr/lib/systemd/systemd --switched-root --system --deserialize 18 - 3729 ? S 0:00 (sd-pam) user_u:user_r:user_t:s0 3907 ? Ss 0:00 /usr/lib/systemd/systemd --user - 3911 ? S 0:00 (sd-pam) user_u:user_r:user_t:s0 3918 ? S 0:00 sshd: example.user@pts/0 user_u:user_r:user_t:s0 3922 pts/0 Ss 0:00 -bash user_u:user_r:user_dbusd_t:s0 3969 ? Ssl 0:00 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only user_u:user_r:user_t:s0 3971 pts/0 R+ 0:00 ps axZ