3.5.2.2. Confinar um administrador usando sudo e a função sysadm_r

Procedimento

1. Criar um novo usuário, adicionar o usuário ao grupo de usuários wheel e mapear o usuário para o usuário staff_u SELinux:

   # adduser -G wheel -Z staff_u example.user

2. Opcional: Mapear um usuário existente para o usuário staff_u SELinux e adicionar o usuário ao grupo de usuários wheel:

   # usermod -G wheel -Z staff_u example.user

3. Para permitir que example.user ganhe o papel de administrador do SELinux, crie um novo arquivo no diretório /etc/sudoers.d/, por exemplo:

   # visudo -f /etc/sudoers.d/example.user

4. Adicione a seguinte linha ao novo arquivo:

   example.user ALL=(ALL) TYPE=sysadm_t ROLE=sysadm_r ALL

Etapas de verificação

1. Verifique se example.user é mapeado para o usuário do staff_u SELinux:

   # semanage login -l | grep example.user
   example.user     staff_u    s0-s0:c0.c1023   *

2. Faça o login como example.user, por exemplo, usando SSH, e mude para o usuário root:

   [example.user@localhost ~]$ sudo -i
   [sudo] password for example.user:

3. Mostrar o contexto de segurança root:

   # id -Z
   staff_u:sysadm_r:sysadm_t:s0-s0:c0.c1023

4. Tente uma tarefa administrativa, por exemplo, reiniciar o serviço sshd:

   # systemctl restart sshd

   Se não houver saída, o comando terminou com sucesso.

   Se o comando não terminar com sucesso, ele imprime a seguinte mensagem:

   Failed to restart sshd.service: Access denied
   See system logs and 'systemctl status sshd.service' for details.