SELinux系统管理全解析
1. SELinux对系统管理的影响
管理SELinux系统时,管理员需要掌握众多功能。大部分情况下,SELinux的管理与普通非SELinux系统类似,但在一些典型的管理操作上,SELinux有额外要求。下面将探讨一些新接触SELinux的管理员常遇到问题的管理领域。
2. 用户管理
在SELinux系统中,添加、修改和删除用户一直是个挑战。若操作不当,可能看似添加了用户,但用户无法登录(例如,可能是default_contexts文件出现问题)。通用SELinux用户user_u解决了许多不需要对所有Linux用户进行精细控制的SELinux系统的用户管理难题。比如在FC4中添加用户时,由于新用户未在策略中定义,会自动映射到user_u。
用户管理的另一个挑战是如何标记用户主目录中的文件,这会引发几个问题。一是如何对不同类型的用户域类型(如sysadm_t与user_t)进行通用标记;二是在将用户添加到现有系统时,如何确定其合适的标记。若用户主目录和文件最初标记不正确,用户可能会遇到各种问题,如无法登录或无法在主目录中写入文件。近年来,通过前面提到的./contexts/files/file_contexts.home_dirs文件,在解决SELinux用户管理问题上取得了显著进展。
2.1 添加普通非特权用户
由于有了通用用户user_u,在S
