Product SiteDocumentation Site

Глава 6. Ограничение пользователей

6.1. Сопоставление пользователей Linux и SELinux
6.2. Ограничение новых пользователей Linux: useradd
6.3. Ограничение существующих пользователей Linux: semanage login
6.4. Изменение сопоставлений по-умолчанию
6.5. xguest: Режим Kiosk
6.6. Булевы переключатели для пользователей, выполняющих приложения
Множество ограниченных пользователей доступно в Fedora 13. Каждый пользователь Linux сопоставлен пользователю SELinux через политику SELinux, позволяя польователям Linux наследовать ограничения установленные для пользователей SELinux, например (в зависимости от пользователя), нет возможности запускать: X Window System; использовать сетевые функции; запускать setuid приложения (до тех пор, пока политика SELinux не разрешит это); или выполнять команды su и sudo. Это помогает защитить систему от пользователя. Дополнительная информация Раздел 4.3, «Ограниченные и Неограниченные Пользователи» об ограничении пользователей доступна по ссылке.

6.1. Сопоставление пользователей Linux и SELinux

От имени пользователя root, выполните команду semanage login -l для просмотра сопоставлений между пользователями Linux и SELinux:
# /usr/sbin/semanage login -l

Login Name                SELinux User              MLS/MCS Range

__default__               unconfined_u              s0-s0:c0.c1023
root                      unconfined_u              s0-s0:c0.c1023
system_u                  system_u                  s0-s0:c0.c1023
В Fedora 13, пользователи Linux по-умолчанию сопоставлены с логином __default__ SELinux (который в свою очередь сопоставлен пользователю unconfined_u SELinux). Когда пользователь Linux создаётся с помощью команды useradd, если не указаны дополнительные опции, он сопоставляется пользователю SELinux unconfined_u. Ниже определяется сопоставление по-умолчанию:
__default__               unconfined_u              s0-s0:c0.c1023