我对 SELinux 缺少什么?我认为它应该是另一层安全性,但我构建了一个容易受到命令注入攻击的网页,它基本上可以遍历我的大部分文件系统。
我认为 SELinux 应该阻止 httpd 读取任意文件。我特别担心攻击者读取 /etc/passwd 文件。我知道丹·沃尔什提到过(http://danwalsh.livejournal.com/56760.html?thread=335032)。
除了常规的自主访问控制之外,还有没有办法通过 SELinux 来阻止这种情况?我必须制定自己的政策吗? SELinux 处于强制模式。