SELinux: 'chcon' não é refletido em outra conta de usuário

1

Estou usando o Debian 6 com o SELinux ativado.

Para testar, tentei bloquear o acesso ao comando date para usuários. Agora mapeei a conta 'Test_Unix_User' para a conta SELinux 'user_u'.

'user_r' pode executar todos os comandos que possuem o conjunto de funções 'object_r'. Então, decidi mudar o conjunto de papéis de 'object_r' para 'sysadm_r'.

Antes de alterar o conjunto de funções,
saída de ls -Z /bin/date : " system_u:object_r:bin_t /bin/date "
Depois de mudar o papel de conjunto,
saída de ls -Z /bin/date : " system_u:sysadm_r:bin_t /bin/date "

Tudo parece bem. Mas, quando eu entrei na conta 'Test_Unix_User', listando /bin/date com contextos de segurança, mostra-me contexto de arquivo diferente.

A saída de ls -Z /bin/date na conta 'Test_Unix_User' é,
" system_u:object_r:bin_t /bin/date "

Por que mudar o contexto do arquivo na raiz não está refletindo na conta do usuário? O contexto do arquivo tende a ser alterado para cada conta de login? Como o contexto do arquivo não é alterado, não posso bloquear o acesso ao comando 'date'. Eu estou tentando dar acesso aos usuários para executar alguns comandos, mas não todos.

    
por Perumal Subramanian 22.01.2015 / 12:22

0 respostas

Tags