安全规则规定
RHEL必须防止非特权用户执行特权功能,包括禁用、规避或更改已实施的安全保障措施/对策。
所有管理员都必须映射到“sysadm_u”、“staff_u”或组织定义的适当定制的受限角色。
所有授权的非管理用户必须映射到“user_u”角色。
语义 -a -s <user_u |员工_u | sysadm_u> <.用户名>
如果我映射在组 (gid=100) 中定义的本地帐户以及在该组/etc/passwd中,则会发生以下情况:userswheel
- 映射为用户_u
.bash_profile permission登录后我在腻子窗口中定义 - 映射为staff_u
.bash_profile permission登录后我在腻子窗口中定义 - 映射为系统管理员_u我没有得到拒绝的许可;我还必须
setsebool ssh_sysadm_login on在映射到 sysadm_u 时才能进行 ssh 登录。
我的主要问题是
- 为什么权限被拒绝
.bash_profile?
切线问题:
- 我会有普通用户认为
user_u这是一个问题,但是对于管理员应该使用哪个staff_u或sysadm_u? - 通俗地说
staff_u和 的区别是什么sysadm_u?红帽文章https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/using_selinux/managing-confined-and-unconfined-users_using-selinux提及附加角色staff_u似乎与 相同 是什么意思sysadm_u? - 最佳实践是什么,如果我行政帐户,默认情况下将在
wheel组中,我只想允许sudo -i使用,那么应该如何使用selinux?现在根据提供的说明,我必须继续,这是功能失调的。