저는 SELinux가 활성화된 Debian 6을 사용하고 있습니다.
date
테스트를 위해 명령에 대한 사용자 액세스를 차단해 보았습니다 . 이제 "Test_Unix_User" 계정을 "user_u" SELinux 계정에 매핑했습니다.
"user_r"은 "object_r" 역할 집합을 사용하여 모든 명령을 실행할 수 있습니다. 그래서 역할 설정을 "object_r"에서 "sysadm_r"로 변경하기로 결정했습니다.
역할 세트를 변경하기 전
출력 ls -Z /bin/date
: " system_u:object_r:bin_t /bin/date
"
역할 세트를 변경한 후
출력 ls -Z /bin/date
: " system_u:sysadm_r:bin_t /bin/date
"
모든 것이 괜찮아 보입니다. 그러나 "Test_Unix_User" 계정에 로그인한 다음 /bin/date
보안 컨텍스트를 나열하면 다른 파일 컨텍스트가 표시됩니다.
ls -Z /bin/date
"Test_Unix_User" 계정의 출력은
" system_u:object_r:bin_t /bin/date
" 입니다.
루트 디렉터리의 파일 컨텍스트에 대한 변경 사항이 사용자 계정에 반영되지 않는 이유는 무엇입니까? 로그인 계정마다 파일 컨텍스트가 변경됩니까? 파일 컨텍스트가 변경되지 않았으므로 "date" 명령에 대한 액세스를 차단할 수 없습니다. 사용자에게 일부 명령을 실행할 수 있는 권한을 부여하려고 합니다. 전부는 아니지만요.