本番環境で軽量SELinuxポリシーを実行する

本番環境で軽量SELinuxポリシーを実行する

私はLinuxプロセスグループを制限するSELinuxの機能を活用したいと思います。このグループは、UIDが十分に高い(例:> 1000)権限を持たないユーザーです。私は、さまざまなクライアントがPHPスクリプトを実行している共有ホスティングサーバーでこれを実行したいと思います。現在SELinuxはオフになっています。

より具体的に私が望むものシンボリックリンク生成の無効化シンボリックリンクに関連するさまざまな攻撃により、他の同様の規則がある可能性があります。例をご覧ください。

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux+symlink+race

私はSELinuxのこれらの使用が基本的なポリシーの規則を使用して可能であると思います。これは(擬似コード)のような単純なルールです。

"allow everything that SELinux Off does"
neverallow $source_type $target_type : lnk_file write;

どこソースタイプそしてターゲットタイプどういうわけか、Unixユーザーのターゲットグループが指定されます(間違っている場合は申し訳ありませんが、SELinuxにはまだ慣れていません)。

しかし、これは私がSELinuxでやってほしい唯一のことです。

私はRedhatや他のLinuxディストリビューションによって配布された基本的なポリシー全体を使用したくありません。これは非常に限られており、現在実行中のアプリケーションに多くの問題を引き起こす可能性があるためです。

これらの許可ポリシーの下でSELinuxを実行するのに問題がありますか?または、この制限を実装するために好ましい他の方法はありますか?

関連情報