我配置了 SELinux:
semanage login -a -s user_u mary
setsebool user_exec_content off
常规配置是
SELINUX=enforcing
SELINUXTYPE=targeted
当我登录到 mary 帐户时,我仍然可以运行她帐户中的脚本,但 setsebool (user_exec_content=off) 应该禁止这样做吗?
有人能给我指明正确的方向吗?
答案1
使用 su 时 Selinux 用户不受限制
一些应用程序或助手利用 PAM 来获取/设置 SELinux 限制。例如,SSHD 要求您UsePAM yes
启用 SELinux 用户限制。根据您的 SELinux 策略和布尔值,您可能能够在使用某些助手(例如su
或sudo
和)时绕过限制,这也取决于它们的执行方式。这需要了解 SELinux 策略中允许哪些转换。
如果 Mary 通过 SSH 登录并UsePAM yes
进行设置,那么他们应该按预期受到限制,并且您的布尔值应该生效。