SELinux を頑張る-その3
次は、ユーザーについてロックダウンしていくことを検討しましょう。
ユーザーについての現在の設定を確認する。
# semanage login -l
================
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0-s0:c0.c1023 *
================
root は、unconfined_u にマッピングされ、デフォルトユーザーも同様となります。
では、strict policy に近づけていく作業を始めましょう。
root が、unconfined_u という SELinux ユーザーにマッピングされています。
これを、staff_u という SELinux ユーザーにマッピングしなおします。
# semanage login -m -s staff_u root
設定を確認します。
# semanage login -l
================
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root staff_u s0-s0:c0.c1023 *
================
root が staff_u にマッピングされました。
ここで、/root のデータを ssh 経由でダウンロードしようとすると、多数のエラーが audit log に出力されました。
ちょっと解決策がすぐには分からないので、一般ユーザでデータのやり取りをするようにしましょう。
一般ユーザでの ssh には、何の問題もありませんでした。
お疲れさまです。