Red Hat Training
A Red Hat training course is available for RHEL 8
3.5.2. Confinamento de usuários administradores
Você pode usar um dos dois métodos a seguir para confinar os usuários administradores.
3.5.2.1. Confinando um administrador através do mapeamento ao sysadm_u
Você pode confinar um usuário com privilégios administrativos mapeando o usuário diretamente para o usuário do sysadm_u SELinux. Quando o usuário faz o login, a sessão é executada no contexto sysadm_u:sysadm_r:sysadm_t SELinux.
Pré-requisitos
-
O usuário do site
rootfunciona de forma não confinada. Este é o default do Red Hat Enterprise Linux.
Procedimento
Opcional: Para permitir aos usuários do
sysadm_uconectarem-se ao sistema usando SSH:# setsebool -P ssh_sysadm_login onCriar um novo usuário, adicionar o usuário ao grupo de usuários
wheele mapear o usuário para o usuáriosysadm_uSELinux:# adduser -G wheel -Z sysadm_u example.userOpcional: Mapear um usuário existente para o usuário
sysadm_uSELinux e adicionar o usuário ao grupo de usuárioswheel:# usermod -G wheel -Z sysadm_u example.user
Etapas de verificação
Verifique se
example.useré mapeado para o usuário dosysadm_uSELinux:# semanage login -l | grep example.user example.user sysadm_u s0-s0:c0.c1023 *
Entrar como
example.userpor exemplo, usando SSH, e mostrar o contexto de segurança do usuário:[example.user@localhost ~]$ id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023
Mude para o usuário do site
root:$ sudo -i [sudo] password for example.user:
Verificar que o contexto de segurança permaneça inalterado:
# id -Z sysadm_u:sysadm_r:sysadm_t:s0-s0:c0.c1023Tente uma tarefa administrativa, por exemplo, reiniciar o serviço
sshd:# systemctl restart sshdSe não houver saída, o comando terminou com sucesso.
Se o comando não terminar com sucesso, ele imprime a seguinte mensagem:
Failed to restart sshd.service: Access denied See system logs and 'systemctl status sshd.service' for details.
