setsebool 并在主目录中运行脚本

setsebool 并在主目录中运行脚本

我配置了 SELinux:

semanage login -a -s user_u mary
setsebool user_exec_content off

常规配置是

SELINUX=enforcing
SELINUXTYPE=targeted

当我登录到 mary 帐户时,我仍然可以运行她帐户中的脚本,但 setsebool (user_exec_content=off) 应该禁止这样做吗?

有人能给我指明正确的方向吗?

答案1

使用 su 时 Selinux 用户不受限制

一些应用程序或助手利用 PAM 来获取/设置 SELinux 限制。例如,SSHD 要求您UsePAM yes启用 SELinux 用户限制。根据您的 SELinux 策略和布尔值,您可能能够在使用某些助手(例如susudo和)时绕过限制,这也取决于它们的执行方式。这需要了解 SELinux 策略中允许哪些转换。

如果 Mary 通过 SSH 登录并UsePAM yes进行设置,那么他们应该按预期受到限制,并且您的布尔值应该生效。

相关内容