Gotchas de função de usuário do SELinux

0

A nova política de segurança determina que os administradores do sistema nos sistemas RHEL devem ser mapeados para sysadm_U ou staff_u role e que os usuários 'normais' devem ser mapeados para user_u roles. Antes disso, utilizamos a configuração pronta para uso com todos os usuários com o unconfined_u .

Ao executar um pequeno teste com o mapeamento de um grupo de administradores do sistema para a função sysadm_u , descobri que inicialmente esses usuários não conseguiram efetuar login via SSH. Depois de investigar a fonte da política do SELinux, descobri que havia um booleano, ssh_sysadm_login , que precisava ser configurado para permitir essa função.

Eu também tentei mapear esse mesmo grupo para a função staff_u . Este papel aconteceu para ser capaz de SSH muito bem, mas, por coincidência, descobri que eles eram incapazes de realizar operações de encaminhamento de porta SSH. Mais uma vez, consegui encontrar o booleano, user_tcp_server que corrigiu isso.

Em qualquer caso, esses dois efeitos imediatos sobre funções de administrador comuns (críticas) me preocuparam com as outras "armadilhas" nas quais eu poderia esperar quando lançando essa mudança. Observou-se que essa alteração poderia afetar os aplicativos implantados, o que poderia tornar o escopo dessa questão muito abrangente. Portanto, vamos focar as respostas nos impactos que se esperaria ver em uma instalação básica do SO afetando a funcionalidade principal (por exemplo, os problemas de SSH mencionados anteriormente).

Eu não sou um especialista em SELinux, mas coloquei uma quantidade decente de pesquisa nisto. Assim como muitas coisas relacionadas ao Linux, a documentação é fragmentada ou às vezes difícil de interpretar. Por favor, compartilhe sua experiência ou conselho.

    
por LJKims 09.06.2017 / 23:35

0 respostas

Tags