SELinux を頑張る-その5
ちょっと前回は、やりすぎた感があります。
デフォルトの SELinux ユーザーを unconfined_u にする前(ユーザーをロックダウンする前)まで戻りました。
では、root ユーザの SELinux ログイン設定を、unconfined_u に戻しましょう。
# semanage login -m -s unconfined_u root
# semanage login -l
(表示)
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ unconfined_u s0-s0:c0.c1023 *
root unconfined_u s0 *
root ユーザーを unconfined_u のままにしつつ、次のことを実行します。
ユーザーを作成した時に、staff_u をデフォルトにしましょう。
# semanage login -m -s staff_u __default__
確認します。
# semanage login -l
(表示)
ログイン名 SELinux ユーザー MLS/MCS 範囲 サービス名
__default__ staff_u s0 *
root unconfined_u s0 *
システム再起動
これで、myuser から su コマンドを発行しても、staff_u SELinux ユーザーは su が許可されていない
ので、root にはなれません。
root になれるのは、root ユーザーが root でログインした時だけです。
つづく。