Ich verwende Fedora 23. Ich habe SELinux aktiviert und erzwungen. Ich weiß, dass Sie die Beschriftungen einer Datei mit restoreconund chcon(und möglicherweise anderen Programmen) ändern können. Dies ist zweifellos eine Möglichkeit, die Sicherheit einer Datei zu umgehen. Wie kann ich es so machen, dass SELinux-Beschriftungen nicht geändert werden können?DasAuf der Gentoo-Dokumentationsseite steht, dass SELinux dafür verwendet werden kann, aber es wird nicht erklärt, wie. Fedoras targetedRichtlinie sieht drei spezielle Boolesche Werte vor:
secure_mode— „Übergang zu sysadm_t nicht zulassen, sudo und su ausgeführt“secure_mode_insmod— „Keine Prozesse das Laden von Kernelmodulen zulassen“secure_mode_policyload– „Keine Prozesse zulassen, die die SELinux-Richtlinie des Kernels ändern“
Bietet die Fedora-Richtlinie eine Möglichkeit, um zu verhindern, dass Prozesse im Benutzerbereich SELinux-Bezeichnungen ändern?