私はSELinuxが有効になっているDebian 6を使用しています。
dateテストのためにコマンドへのユーザーアクセスをブロックしてみました。 「Test_Unix_User」アカウントを「user_u」SELinuxアカウントにマップしました。
「user_r」は、「object_r」ロールセットを使用して任意のコマンドを実行できます。そこで、役割設定を「object_r」から「sysadm_r」に変更することにしました。
役割セットを変更する前の
出力ls -Z /bin/date:" system_u:object_r:bin_t /bin/date"
役割セットを変更した後の
出力ls -Z /bin/date: " system_u:sysadm_r:bin_t /bin/date"
すべてが大丈夫に見えます。ただし、「Test_Unix_User」アカウントにログインして/bin/dateセキュリティコンテキストを一覧表示すると、他のファイルコンテキストが表示されます。
ls -Z /bin/date"Test_Unix_User"アカウントの出力は
" system_u:object_r:bin_t /bin/date"です。
ルートディレクトリのファイルコンテキストに対する変更がユーザーアカウントに反映されないのはなぜですか?ログインアカウントごとにファイルのコンテキストが変わりますか?ファイルコンテキストが変更されていないため、「date」コマンドへのアクセスをブロックできません。ユーザーにいくつかのコマンドを実行する権限を付与しようとしています。全部ではありませんが。