Я использую Fedora 23. У меня включен и принудительно включен SELinux. Я знаю, что можно изменить метки файлов с помощью restoreconи chcon(и, возможно, других программ). Это, без сомнения, способ обойти защиту файла. Как сделать так, чтобы метки SELinux нельзя было изменить.ЭтотНа странице документации Gentoo говорится, что SELinux можно использовать для этого, но не говорится, как. targetedПолитика Fedora предоставляет три конкретных булевых значения:
secure_mode— «Не разрешать переход к sysadm_t, sudo и su выполнены»secure_mode_insmod— «Не разрешать никаким процессам загружать модули ядра»secure_mode_policyload— «Не разрешать никаким процессам изменять политику ядра SELinux»
Предусмотрена ли в политике Fedora возможность запретить процессам пользовательского пространства изменять метки SELinux?