如何保护 SELinux 标签不被修改?

如何保护 SELinux 标签不被修改?

我正在运行 Fedora 23。我已启用并强制执行 SELinux。我知道您可以使用restoreconchcon(可能还有其他程序)更改文件的标签。毫无疑问,这是绕过文件安全性的一种途径。我怎样才能使 SELinux 标签无法更改。Gentoo 文档页面说可以使用 SELinux 来做到这一点,但没有说明如何做。 Fedora 的targeted策略提供了三个特殊的布尔值:

  • secure_mode—“不允许转换到 sysadm_t、sudo 和 su ”
  • secure_mode_insmod—“不允许任何进程加载内核模块”
  • secure_mode_policyload—“不允许任何进程修改内核 SELinux 策略”

Fedora 策略是否提供了某种方法来阻止用户空间进程修改 SELinux 标签?

相关内容