Linuxには、ポリシー違反のプロセスを停止できるMACがありますか?

Linuxには、ポリシー違反のプロセスを停止できるMACがありますか?

SIGSTOPシステムコールを再試行するために更新されたポリシーにリカバリできるように、ポリシー違反を処理できる(または関連するシステムコールから制御を返さない)Linux MACはありますか?これは、信頼できないインタラクティブソフトウェアを実行している場合に状態を変更し、新しい動作を表示するのに時間がかかる場合に非常に便利です。修正または報告する必要があるバグ/マルウェアを見つけるために実行中のプロセスの状態をプロファイリングするためにも使用できます(例:gdbを使用)。

答え1

いいえ - selinux は、ポリシーに違反した場合にのみ操作をブロックします。この動作が本当に必要な場合は、selinuxログを使用してPIDを解析し、S​​IGSTOPを各プロセスに送信できます。しかし、プロセスはすでにselinuxから拒否されているため、プロセスを再開してもシステムコールを再試行しません。さらに、この動作が標準の場合、サーバーは多くのDoS攻撃にさらされます(httpdクライアントをだましてポジティブポリシー違反を実行できる場合はどうなるか想像してください)。

答え2

インテリジェントLinuxkillallこれは、ポリシーが違反した場合(たとえば)コマンドを実行することによって達成できます。

また、使用することができますtomoyo-querydポリシー違反をリアルタイムで監視し、リアルタイムで許可/拒否を決定します。

関連情報