私はFedora 23を使用しています。 SELinuxを有効にして実施しました。restorecon
そしてchcon
(そしておそらく他のプログラム)を使ってファイルのラベルを変更できることを知っています。これがファイルセキュリティをバイパスする方法であることは間違いありません。 SELinuxラベルを変更できないようにするにはどうすればよいですか?これGentooのドキュメントページにはSELinuxを使用してこれを行うことができますが、方法については説明しません。 Fedoraのtargeted
ポリシーには3つの特別なブール値があります。
secure_mode
— "sysadm_t、sudo、および su への切り替えは許可されません。"secure_mode_insmod
- "カーネルモジュールをロードするプロセスは許可されていません。"secure_mode_policyload
— "どのプロセスでもカーネルSELinuxポリシーを変更することはできません。"
Fedoraポリシーは、ユーザースペースプロセスがSELinuxラベルを変更するのを防ぐ方法を提供しますか?