sshd в SELinux

1

1

Доброго времени суток! Создал нового пользователя в SELinux «name_u», прописал у него в файле (/etc/selinux/targeted/contexts/users/name_u) следующее:

#######
name_r:name_t:s0			name_r:name_t:s0
staff_r:staff_t:s0			name_r:name_t:s0
system_r:crond_t:s0			name_r:name_t:s0
system_r:initrc_su_t:s0			name_r:name_t:s0
system_r:local_login_t:s0		name_r:name_t:s0
system_r:remote_login_t:s0		name_r:name_t:s0
system_r:sshd_t:s0			name_r:name_t:s0 
system_r:xdm_t:s0			name_r:name_t:s0
#######

И все равно не дает доступ пользователю к ssh. Когда добавляю в строчку staff_t у которого есть доступ, то все хорошо, он заходит.

system_r:sshd_t:s0			name_r:name_t:s0 staff_r:staff_t:s0

Только мне SSH нужен как инструмент с типом name_t для доступа к каталогу с файлами которые помечены типом name_rw_t.

Ссылка

←	OpenLDAP - не добавляется схема

nginx proxy tcp socket

→

Конечная цель разрешить, только, конкретному пользователю запускать ssh клиент?

sparks ★★★★
(31.01.19 15:42:46 MSK)

Ответ на: комментарий от sparks 31.01.19 15:42:46 MSK

Не только. Конечная цель - разрешить пользователю через ssh (с типом name_t) работать с файлами на которых поставлен тип (name_rw_t)

PirateTM
(31.01.19 18:38:23 MSK) автор топика

Ответ на: комментарий от PirateTM 31.01.19 18:38:23 MSK

Опиши примерный сценарий, мне кажется ты не в ту сторону пошел, ты политику дополнил новыми контекстами и ролями? Ещё, на файлы нельзя повесить несколько контекстов сразу

sparks ★★★★
(31.01.19 18:55:52 MSK)

Ответ на: комментарий от PirateTM 31.01.19 18:38:23 MSK

Там ещё категории есть. Не нашёл, как, но может быть проще.

DonkeyHot ★★★★★
(01.02.19 10:33:56 MSK)

Ответ на: комментарий от sparks 31.01.19 18:55:52 MSK

Использую CentOS 7 epel не использую, ибо в условиях задачи необходимы локальные репозитории. Пакеты selinux которые у меня стоят:

setools-gui-3.3.8-4.el7.x86_64
selinux-policy-minimum-3.13.1-229.el7_6.6.noarch
selinux-policy-targeted-3.13.1-229.el7_6.6.noarch 
selinux-policy-mls-3.13.1-229.el7_6.6.noarch 
setools-devel-3.3.8-4.el7.x86_64 
setools-3.3.8-4.el7.x86_64 
selinux-policy-sandbox-3.13.1-229.el7_6.6.noarch 
setools-libs-3.3.8-4.el7.x86_64
selinux-policy-3.13.1-229.el7_6.6.noarch 
selinux-policy-devel-3.13.1-229.el7_6.6.noarch
setools-console-3.3.8-4.el7.x86_64
selinux-policy-doc-3.13.1-229.el7_6.6.noarch
setools-libs-tcl-3.3.8-4.el7.x86_64

Через sepolgen сгенерировал политику командой:

[root@localhost modules]# sepolgen -n name  --confined_admin -u argun_u -n name /opt/name/

А вообще сценарий такой, что есть ПО которое запускается, записывает логи, запускается из под пользователя. ПО использует различные сокеты TCP и UDP. И все это работает со стандартными контекстами. Но надо ограничить это ПО от остальных пользователей через selinux (и только через него). Разрешить только одному пользователю SELinux на 120% управлять этим приложением, а остальным запретить у кого нет той или иной роли.

Вообще много читал мануалов по данной теме, но ничего полезного для себя не нашел.

PirateTM
(01.02.19 11:11:44 MSK) автор топика

Ответ на: комментарий от DonkeyHot 01.02.19 10:33:56 MSK

Что за категории? Первый раз слышу...

PirateTM
(01.02.19 11:15:38 MSK) автор топика

Ответ на: комментарий от sparks 31.01.19 18:55:52 MSK

Если сможешь помочь, в обиде не оставлю. Добавь в ВК. Ссылку зашифровал от ботов (Base64: aHR0cHM6Ly92ay5jb20vdWdseXl4cmx2ZTBn). Или попробуй найти в телеграмме меня (ник такой же, как на сайте).

PirateTM
(01.02.19 18:29:13 MSK) автор топика

Ответ на: комментарий от PirateTM 01.02.19 18:29:13 MSK

я выпилился из вк, тут отпишусь как поковыряю, но это 100% не сегодня, благо впереди выходые

sparks ★★★★
(01.02.19 18:33:31 MSK)

Ответ на: комментарий от sparks 01.02.19 18:33:31 MSK

Хорошо, мне бы за выходные это все успеть сделать. У тебя дискорд есть или иные средства связи?

PirateTM
(01.02.19 18:35:52 MSK) автор топика

Ответ на: комментарий от sparks 01.02.19 18:33:31 MSK

Нашел кстати литературу по SELinux, но на английском. https://learning.oreilly.com/library/view/selinux-system-administration/97817...

PirateTM
(01.02.19 18:39:06 MSK) автор топика

Ссылка

Ответ на: комментарий от PirateTM 01.02.19 18:35:52 MSK

Я тебе в телеграме написал, ток там сказано, ты с 21го не появлялся

sparks ★★★★
(01.02.19 18:48:09 MSK)

Ссылка

Ответ на: комментарий от PirateTM 01.02.19 11:15:38 MSK

MLS/MCS

bigbit ★★★★★
(01.02.19 23:03:32 MSK)

Ссылка

Ответ на: комментарий от PirateTM 01.02.19 11:11:44 MSK

Ты делаешь странное.
Фишка SELinux в том, что доступ дается не пользователям, а приложениям (типам). И без разницы какой пользователь его (приложение) запускает. Пользователи и роли - вторичный механизм, на практике используется редко.
Та задача, которую ты описал, решается стандартными правами Unix. Разрешить пользователю через sudo выполнять команды от имени пользователя, под которым запускается приложение, и все. Почему нужно делать это средствами SELinux?

bigbit ★★★★★
(01.02.19 23:18:05 MSK)
Последнее исправление: bigbit 01.02.19 23:18:34 MSK (всего исправлений: 1)