私は Fedora 23 を実行しています。SELinux を有効にして強制しています。 およびrestorecon(chconおよびおそらく他のプログラム) を使用してファイルのラベルを変更できることは知っています。これは間違いなく、ファイルのセキュリティをバイパスできる手段です。SELinux ラベルを変更できないようにするにはどうすればよいでしょうか。これGentoo のドキュメント ページには、SELinux を使用してこれを行うことができると記載されていますが、その方法については説明されていません。Fedora のtargetedポリシーでは、次の 3 つの特定のブール値を提供しています。
secure_mode— 「sysadm_t への移行を許可しない、sudo と su が影響を受ける」secure_mode_insmod— 「いかなるプロセスにもカーネルモジュールのロードを許可しない」secure_mode_policyload— 「カーネル SELinux ポリシーを変更するプロセスを許可しない」
Fedora ポリシーには、ユーザー空間プロセスが SELinux ラベルを変更するのを防ぐ方法が付属していますか?