1 votes

Configuration pour Ubuntu SELinux avec sshd

J'essaie de configurer SELinux dans un serveur Ubuntu Trusty, qui est une instance Amazon EC2. J'ai suivi la documentation Debian sur l'installation de SELinux. L'installation fonctionne bien comme le montre :

root@machine:~# sestatus

Statut SELinux : activé

Montage SELinuxfs : /sys/fs/selinux

Répertoire racine SELinux : /etc/selinux

Nom de la politique chargée : default

Mode actuel : permissif

Mode du fichier de configuration : permissif

Statut de la politique MLS : activé

Politique deny_unknown status : allowed

Version maximale de la politique du noyau : 28

Cependant, j'ai quelques problèmes avec mon contexte en tant qu'utilisateur standard avec ssh j'ai le contexte : system_u:system_r:sysadm_t:SystemLow. J'ai testé avec l'utilisateur root, qui est également system_u:system_r:sysadm_t:SystemLow.

root@ip-172-31-4-210:~# id -Z

system_u:system_r:sysadm_t:SystemLow

Comme je ne peux me connecter à ce serveur que via SSH, je suppose que le problème vient de là. Existe-t-il un booléen ou une politique permettant de se connecter par SSH avec un contexte unconfined_u ?

EDIT 1 : Je suis désolé de ne pas avoir donné assez de détails. Ce que je veux faire, c'est simplement configurer SELinux pour confiner le processus et deamon, je veux que mon utilisateur standard soit capable de sudo et puisse gérer le système. L'utilisateur root n'est-il pas censé être dans le contexte "unconfined_u" ? Pourquoi suis-je system_u ?

Sortie de semanage login -l :

Nom de connexion Utilisateur SELinux Service de la gamme MLS/MCS

__default__ unconfined_u SystemLow-SystemHigh *

racine unconfined_u SystemLow-SystemHigh *

system_u system_u SystemLow-SystemHigh *

ubuntu unconfined_u SystemLow-SystemHigh *

1voto

jsicary Points 361

Tout d'abord, vous pouvez vérifier tous les booléens SELinux avec :

getsebool -a

Vous pouvez y vérifier s'il existe un booléen concernant cette question ou non.

Une autre chose que vous pouvez essayer est de donner à votre utilisateur un rôle différent avec :

semanage login -a -s <role> <your_user>

Assurez-vous simplement que le rôle est le même que celui de l'utilisateur root (dans ce cas, system_u), mais soyez conscient des risques de sécurité. Vous pouvez toujours revenir en arrière avec :

semanage login -d <your_user>

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X