Estou executando o Fedora 23. Tenho o SELinux habilitado e aplicado. Eu sei que você pode alterar os rótulos de um arquivo com restorecone chcon(e possivelmente com outros programas). Este é sem dúvida um caminho pelo qual a segurança de um arquivo pode ser contornada. Como posso fazer com que os rótulos do SELinux não possam ser alterados.EsseA página de documentação do Gentoo diz que o SELinux pode ser usado para fazer isso, mas não diz como. A política do Fedora targetedfornece três booleanos específicos:
secure_mode— "Não permitir transição para sysadm_t, sudo e su efetuada"secure_mode_insmod— "Não permitir que nenhum processo carregue módulos do kernel"secure_mode_policyload— "Não permitir que nenhum processo modifique a política SELinux do kernel"
A política do Fedora vem com alguma maneira de evitar que os processos do espaço do usuário modifiquem os rótulos do SELinux?