특정 사용자에게 특정 서비스를 시작하고 중지할 수 있는 권한을 부여하는 방법은 무엇입니까? 특히 SELinux가 설치된 Fedora 19 시스템에 대해 묻고 있습니다.
서비스 관리 유틸리티를 호출하는 경우입니다 systemctl. 어떤 유형의 SELinux 보안 정책을 작성해야 합니까? 어디? 어떻게? 참고자료가 있나요?
답변1
RHEL에는 아직 시스템이 없으므로 Fedora 19와 RHEL의 접근 방식은 완전히 다릅니다.
어쨌든 당신이 하려는 일은 완전히 불가능합니다. 각 사용자에 대해 별도의 로그인 역할을 생성하고 systemd 도메인으로 전환하지 않고 systemd를 실행할 수 있는 기능을 부여해야 합니다. 이 시점에서 전체 systemd 정책을 각 사용자의 도메인에 복제하고 각 서비스에 대해 다른 실행 정책을 작성해야 합니다. 사용자당. 이미 SELinux에 대해 매우 깊이 이해하고 있고 SELinux 정책 작성에 능숙하지 않은 한(그리고 M4를 매우 좋아하는 경우) 이 경로를 사용하지 않는 것이 좋습니다.
"/sbin/service foo restart" 또는 "/bin/systemctl restart foo.service"와 같은 작업을 허용하려면 각 사용자에 대해 sudo 규칙을 추가하기만 하면 됩니다. SELinux를 경쟁업체에 추가하려면 이러한 사용자를 Staff_u로 설정하고 나머지는 user_u로 설정하세요.