История изменений

Исправление sparks, 12.03.24 23:15 (текущая версия) :

Вроде просто пометь пользователя как user_u и ему по умолчанию будет запрещён вызов setuid()

[root@0x61s ~]# useradd -m test1
[root@0x61s ~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
[root@0x61s ~]# semanage login -a -s user_u test1
[root@0x61s ~]# semanage login -l

Login Name           SELinux User         MLS/MCS Range        Service

__default__          unconfined_u         s0-s0:c0.c1023       *
root                 unconfined_u         s0-s0:c0.c1023       *
test1                user_u               s0                   *
[root@0x61s ~]# su - test1
[test1@0x61s ~]$ su -
Password: 
su: Authentication failure
[test1@0x61s ~]$ exit
logout
[root@0x61s ~]# grep test1 /var/log/audit/audit.log
...
type=USER_AUTH msg=audit(1710274096.627:305): pid=1303 uid=1001 auid=1000 ses=4 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/su" hostname=? addr=? terminal=/dev/pts/0 res=failed'UID="test1" AUID="sparks"
...

Исходная версия sparks, 12.03.24 23:04:

Вроде просто пометь пользователя как user_u и ему по умолчанию будет запрещён вызов setuid()