我希望能够阻止特权用户更改 SELinux 模式执行到宽容的无需重启。
setenforce permissive对于 root 用户来说,运行、进行更改(例如运行不受限制的程序或更改上下文)然后重新启用强制模式太容易了。当然,它会被记录下来,但这可能会被忽视。
答案1
secure_mode_policyloadboolean 应该提供这样的功能:
布尔值,用于确定系统是否允许加载策略、设置强制模式和更改布尔值。将其设置为 true 并且您必须重新启动才能将其设置回来。
启用后,无法修改 SELinux 策略(包括更改许可/强制模式),并且关闭布尔值需要重新启动。
要将其打开直到下次启动:
setsebool secure_mode_policyload on