我正在運行 Fedora 23。我知道您可以使用restorecon和chcon(可能還有其他程式)更改文件的標籤。毫無疑問,這是繞過檔案安全性的一種途徑。我怎麼才能使 SELinux 標籤無法更改。這Gentoo 文件頁面說可以使用 SELinux 來做到這一點,但沒有說明如何做。 Fedora 的targeted策略提供了三個特殊的布林值:
secure_mode—“不允許轉換到 sysadm_t、sudo 和 su ”secure_mode_insmod—“不允許任何程序載入核心模組”secure_mode_policyload—“不允許任何程序修改核心 SELinux 策略”
Fedora 策略是否提供了某種方法來阻止使用者空間程序修改 SELinux 標籤?