저는 Fedora 23을 실행하고 있습니다. SELinux를 활성화하고 적용했습니다. restorecon및 chcon(및 다른 프로그램)을 사용하여 파일 레이블을 변경할 수 있다는 것을 알고 있습니다 . 이는 의심할 바 없이 파일의 보안을 우회할 수 있는 방법입니다. SELinux 레이블을 변경할 수 없도록 하려면 어떻게 해야 합니까?이것Gentoo 문서 페이지에는 SELinux를 사용하여 이를 수행할 수 있다고 나와 있지만 방법은 나와 있지 않습니다. Fedora의 targeted정책은 세 가지 특정 부울을 제공합니다.
secure_mode— "sysadm_t, sudo 및 su로의 전환을 허용하지 않습니다."secure_mode_insmod— "어떤 프로세스도 커널 모듈을 로드하는 것을 허용하지 않습니다."secure_mode_policyload— "어떤 프로세스도 커널 SELinux 정책을 수정하도록 허용하지 않습니다."
Fedora 정책에는 사용자 공간 프로세스가 SELinux 레이블을 수정하는 것을 방지하는 방법이 제공됩니까?