我正在使用启用了 SELinux 的 Debian 6。
为了进行测试,我尝试阻止date
用户访问命令。现在,我已将“Test_Unix_User”帐户映射到“user_u”SELinux 帐户。
“user_r”可以执行具有角色集“object_r”的所有命令。因此,我决定将角色集从“object_r”更改为“sysadm_r”。
更改角色集之前,
输出ls -Z /bin/date
:“ system_u:object_r:bin_t /bin/date
”
更改角色集之后,
输出ls -Z /bin/date
:“ system_u:sysadm_r:bin_t /bin/date
”
一切看起来都很好。但是,当我登录到“Test_Unix_User”帐户时,然后列出/bin/date
安全上下文,会显示不同的文件上下文。
ls -Z /bin/date
“Test_Unix_User”帐户的输出是
“ system_u:object_r:bin_t /bin/date
”
为什么更改根目录中的文件上下文没有反映在用户帐户中?每个登录帐户的文件上下文是否都会更改?由于文件上下文未更改,因此我无法阻止对“date”命令的访问。我正在尝试授予用户执行某些命令的权限,但不是全部。