Confinement d’un utilisateur avec SELinux

Ce TD est à réaliser dans une machine virtulle Fedora. Avec les machines vagrant :

$ vagrant up selinux
$ vagrant ssh selinux

Objectifs

• Confinement des utilisateurs

Confinement d’un utilisateur

Nous allons ajouter un utilisateur non privilégié et lui associer un utilisateur et un rôle SELinux non privilégié et confiné.

Ajoutez un utilisateur toto :

$ sudo adduser toto
$ sudo passwd toto

Listez les associations nom de login -> utilisateur SELinux :

$ sudo semanage login --list

Listez les associations utilisateurs SELinux -> Rôles :

$ sudo semanage user --list

Ajoutez une association login -> utilisateur SELinux confiné pour toto :

$ sudo semanage login --add -s user_u -r s0 toto

Vérifiez l’ajout de l’association :

$ sudo semanage login --list

Se loguer sous cet utilisateur à distance avec SSH, pas avec su.

• Question 1 : Sous quel contexte tourne le shell obtenu ?
• Question 2 : Essayez de passer root. Que se passe-t-il ?

Références

• Wiki du projet SELinux
• SELinux Notebook
• Blog de Dan Walsh
• Sources de la politique SELinux de Fedora