SELinux 策略授权某些用户启动/停止某些服务

SELinux 策略授权某些用户启动/停止某些服务

如何授予某些用户启动和停止某些服务的权限?我具体询问安装了 SELinux 的 Fedora 19 系统。

调用服务管理的实用程序就是在这种情况下systemctl。我必须编写什么类型的 SELinux 安全策略?在哪里?如何?有参考资料吗?

答案1

RHEL 还没有 systemd,因此 Fedora 19 和 RHEL 的方法将截然不同。

无论如何,你想要做的事情是完全不可能的。您必须为每个用户创建一个单独的登录角色,并授予其执行 systemd 的能力,而无需转换到 systemd 域 - 此时您必须将整个 systemd 策略克隆到每个用户的域中,然后编写另一个执行每项服务的策略。每个用户。除非您已经对 SELinux 有非常深入的了解并且非常擅长编写 SELinux 策略(并且非常喜欢 M4),否则我强烈建议您不要走这条路。

只需为每个用户添加 sudo 规则即可允许执行“/sbin/service foo restart”或“/bin/systemctl restart foo.service”等操作。如果您想将 SELinux 添加到竞争中,请将这些用户设置为 Staff_u,其余用户设置为 user_u。

相关内容