Estou usando o Debian 6 com o SELinux ativado.
Para testar, tentei bloquear o acesso ao comando date
para usuários. Agora mapeei a conta 'Test_Unix_User' para a conta SELinux 'user_u'.
'user_r' pode executar todos os comandos que possuem o conjunto de funções 'object_r'. Então, decidi mudar o conjunto de papéis de 'object_r' para 'sysadm_r'.
Antes de alterar o conjunto de funções,
saída de ls -Z /bin/date
: " system_u:object_r:bin_t /bin/date
"
Depois de mudar o papel de conjunto,
saída de ls -Z /bin/date
: " system_u:sysadm_r:bin_t /bin/date
"
Tudo parece bem. Mas, quando eu entrei na conta 'Test_Unix_User', listando /bin/date
com contextos de segurança, mostra-me contexto de arquivo diferente.
A saída de ls -Z /bin/date
na conta 'Test_Unix_User' é,
" system_u:object_r:bin_t /bin/date
"
Por que mudar o contexto do arquivo na raiz não está refletindo na conta do usuário? O contexto do arquivo tende a ser alterado para cada conta de login? Como o contexto do arquivo não é alterado, não posso bloquear o acesso ao comando 'date'. Eu estou tentando dar acesso aos usuários para executar alguns comandos, mas não todos.
Tags selinux