假设我想使用 SELinux 来锁定审计日志,甚至比锁定普通日志更严格。普通日志通常为 类型var_log_t,但审计日志为 类型auditd_log_t。因此至少有一个区分其访问权限的基础。
我想做的是拥有几种不同的管理员角色类型,它们都可以访问类型的对象var_log_t,但只有其中权限更高的角色才能访问类型的对象auditd_log_t。但到目前为止,我还没有找到如何查看(更不用说调整)核心规则,即“可能主题做行动到目的“?”
就目前情况而言,如果我有一个用户类别的“普通”管理员staff_u,并且使用 sudo 升级路径,sysadm_r如所述3.9. 使用 sudo 和 sysadm_r 角色限制管理员,该用户可以访问“普通”日志和审计日志(即,两种类型的对象var_log_t)auditd_log_t。我想拒绝这个“普通”管理员访问审计日志,并将该访问权限限制为某些更高级别的管理员。
也许我走错了路?
我意识到这sysadm_r已经是最高级别、最高权限的管理员了,所以也许我只需要找到一个现有但权限较低的管理员角色,并只允许我的staff_u用户升级到该角色。如果我知道如何列出允许访问各种类型对象的角色,我想这将是找到有关权限较低的管理员角色可能是什么的线索的好方法。