SELinuxラベルが変更されないように保護する方法は?

SELinuxラベルが変更されないように保護する方法は?

私はFedora 23を使用しています。 SELinuxを有効にして実施しました。restoreconそしてchcon(そしておそらく他のプログラム)を使ってファイルのラベルを変更できることを知っています。これがファイルセキュリティをバイパスする方法であることは間違いありません。 SELinuxラベルを変更できないようにするにはどうすればよいですか?これGentooのドキュメントページにはSELinuxを使用してこれを行うことができますが、方法については説明しません。 Fedoraのtargetedポリシーには3つの特別なブール値があります。

  • secure_mode— "sysadm_t、sudo、および su への切り替えは許可されません。"
  • secure_mode_insmod- "カーネルモジュールをロードするプロセスは許可されていません。"
  • secure_mode_policyload— "どのプロセスでもカーネルSELinuxポリシーを変更することはできません。"

Fedoraポリシーは、ユーザースペースプロセスがSELinuxラベルを変更するのを防ぐ方法を提供しますか?

関連情報