Estoy ejecutando Fedora 23. Tengo SELinux habilitado y aplicado. Sé que puedes cambiar las etiquetas de un archivo con restorecony chcon(y posiblemente con otros programas). Sin duda, esta es una vía por la cual se puede eludir la seguridad de un archivo. ¿Cómo puedo hacer para que las etiquetas SELinux no se puedan cambiar?EsteLa página de documentación de Gentoo dice que SELinux se puede usar para hacer eso, pero no dice cómo. La política de Fedora targetedproporciona tres valores booleanos particulares:
secure_mode— "No permitir que se realice la transición a sysadm_t, sudo y su"secure_mode_insmod— "No permitir que ningún proceso cargue módulos del kernel"secure_mode_policyload— "No permitir que ningún proceso modifique la política de SELinux del kernel"
¿La política de Fedora incluye alguna forma de evitar que los procesos del espacio de usuario modifiquen las etiquetas SELinux?