4.11 實驗題答案

實驗題1

實驗題1的目的是讓讀者練習配置與/usr/bin/passwd的SUID位相關的權限。

實驗題2

實驗題2顯示了如何讓一個用戶擁有的腳本可被另一個用戶執行。如果由ACL配置的普通用戶正確執行此腳本，則會在本地目錄中看到一個名為filelist的文件。

實驗題3

在/root管理目錄上配置ACL是一個不安全的做法。但是，它正好可以說明系統上ACL的功能，以及它是如何允許選定的普通用戶訪問root管理員賬戶的“圣地”。正因為有此風險，所以此實驗題完成后必須禁用ACL。假如選定的用戶是michael，則一個方法是用下面的命令：

        # setfacl -b u:michael /root

實驗題4

本實驗題的目的是讓用戶了解在強制模式中禁用和重新啟動SELinux所需要的時間和精力。如果在禁用模式與許可模式之間進行切換，也需要付出同樣的時間和精力。如果必須在強制模式中重新配置SELinux，那么在Red Hat考試中就會損失寶貴的時間，因為在系統重新啟動并且重新賦予標簽時，任何操作都無法執行。

實驗題5

在RHEL 7中，標準用戶是unconfined_u SELinux用戶類型。因此，他們的賬戶幾乎沒有受到任何限制。假如考試或者公司的政策要求對普通用戶加上一定的限制，則可能會想到創建__default__用戶為SELinux user_u用戶類型。或者，如果要求將特定用戶創建為受限的類型，如xguest_u或staff_u等，多次使用semanage login命令即可。如果需要回顧semanage login命令的語法，可以執行man semanage-login。

實驗題6

經過驗證后，某個用戶是一個guest_u類型的用戶，則大多數系統管理員會希望普通用戶擁有更多的權限。但guest_u用戶很適合某些系統，例如邊緣服務器，因為在這些系統上希望鎖定用戶賬戶。

實驗題7

配置為guest_u SELinux用戶類型的用戶通常不允許執行腳本，甚至不可以執行自己主目錄中的腳本。用本實驗題介紹的guest_exec_content布爾型參數可以改變這種情形。通過簡單的比較就可以判斷本實驗題是否成功：在有這個活動的布爾值和沒有布爾值的情況下，這個腳本是否可以執行。

雖然恢復初始配置的最簡單方法是使用GUI SELinux管理工具，但還需要知道如何使用下面的命令禁用了michael用戶的自定義SELinux用戶類型：

        # semanage login -d michael

實驗題8

本實驗題的成功可以用ls -Zd命令來衡量。當這個命令應用于/ftp和/var/ftp/pub兩個目錄上時，應該會得到兩個相同的列表，其中都包含相應目錄的SELinux角色、對象、類型和MLS選項。

然后，執行restorecon -R /ftp命令，并再次檢查/ftp目錄的SELinux類型。如果發生了變化，則說明沒有按照本章前面的描述，使用semanage fcontext命令修改默認的文件上下文。

實驗題9

每個人都會用不同的方法測試SELinux，因此本實驗題的結果是由用戶本人來決定。其目的是分析一個相關的日志文件，并在命令行對它進行處理。努力識別與每個警告信息相對應的問題。雖然用戶可能無法處理很多SELinux問題，但是至少可以在本書的第II部分中用戶能識別這些問題，或至少能夠識別與每個警告有關的用戶和/或命令。