Alterando regras no SELinux

Fornecendo um contexto de usuário no login:

Bem, aqui supõe-se que o "reboot" na máquina já tenha sido feito. Ao instalar o pacote selinux-policy-default, os arquivos de policiamento foram instalados de modo a permitir que se realize o login no sistema como usuário default (caso não tenha adicionado novos usuários).

Então, fazendo o login como root, o contexto de segurança será:


Assim o id e seu contexto de segurança devem ser similares a:

uid=0(root) gid=0(root) groups=0(root) context=root:user_r:user_t

Existem duas maneiras para mudar para uma nova regra:

1) Ao fazer o login:

Se um usuário está autorizado a entrar no domínio sysadm_t, então basta que essa pessoa faça o login no terminal. Em "Your default context is faye:user_r:user_t. Do you want to choose a different one? " selecione a opção desejada, e clique em enter.

[1]user:user_r:user_t
[2]user:sysadm_r:sysadm_t
Enter number of choice:

Neste exemplo o usuário user já tinha acesso a sysadm_r role e a sysadm_t domain. Assim as opções que serão mostradas são somente aquelas que o usuário tem o acesso permitido.

Assim, se o usuário user selecionar a opção 2, terá o contexto de segurança: context=faye:sysadm_r:sysadm_t, que significa que está na regra sysadm_r.

2) Com o comando newrole -r

A sintaxe deste comando é:

newrole -r regra

Substitui-se "regra" pela nova regra desejada.

Então será preciso entrar com a senha do usuário, que poderá ser verificada com o comando id. Porém, caso não seja possível que você altere a regra, será retornado algo como:

user:sysadm_r:sysadm_t is not a valid context

Esta mensagem significa que o usuário "user" não pode ter este contexto, porque não está autorizado.

Após mudar regras, execute o comando id para verificar seu contexto de segurança.

É isso! Agora aproveite a instalação e crie novos usuários e grupos para testar diferentes configurações de regras.

Espero que testem e gostem.

[ ]'s a todos!