Verwaltung der SELinux Benutzer

Mit dem Befehl semanage können Sie die wichtigsten Anpassungen mit einigen Einschränkungen vornehmen. Sie administrieren zum Beispiel die SELinux Benutzer und ihre Rollen mit diesem Befehl. Wenn Sie möchten, dass ein bestimmter Benutzer besonders behandelt wird, können Sie ihm zunächst einen eigenen SELinux User zuordnen. Stellen Sie sich vor, der Benutzer ralf soll auch die neue Rolle webadm_r wahrnehmen dürfen. Dann können Sie das folgendermaßen erreichen:

[root@supergrobi policy]# semanage user --roles 'user_r webadm_r' --prefix user --add ralf_u

Hiermit erzeugen Sie zunächst einen SELinux-Benutzer ralf_u. Der Befehl weist dem Benutzer die beiden Rollen user_r und webadm_r zu. Natürlich müssen diese beiden Rollen auch existieren. Sie können es alternativ auch mit der Rolle sysadm_r testen.

Anschließend weisen Sie bei dem Login dem Linux-Benutzer ralf den SELinux-Benutzer ralf_u zu.

[root@supergrobi policy]# semanage login --add --seuser ralf_u ralf

Mit dem Befehl semanage user -l bzw. semanage login -l sehen Sie die definierten SELinux-Benutzer und ihre Zuordnung zu echten Linux-Benutzern. Natürlich können Sie auch Benutzer löschen. Das funktioniert jedoch nur bei den Benutzern, die Sie selbst erzeugt haben. Benutzer, die in der Policy definiert wurden, können nicht gelöscht werden:

[root@supergrobi policy]# semanage user -d root /usr/sbin/semanage: SELinux user root is defined in policy, cannot be deleted

Das ist allgemein der Fall auch bei Ports und Security-Contexts.