我正在运行 Fedora 23。我已启用并强制执行 SELinux。我知道您可以使用restorecon和chcon(可能还有其他程序)更改文件的标签。毫无疑问,这是绕过文件安全性的一种途径。我怎样才能使 SELinux 标签无法更改。这Gentoo 文档页面说可以使用 SELinux 来做到这一点,但没有说明如何做。 Fedora 的targeted策略提供了三个特殊的布尔值:
secure_mode—“不允许转换到 sysadm_t、sudo 和 su ”secure_mode_insmod—“不允许任何进程加载内核模块”secure_mode_policyload—“不允许任何进程修改内核 SELinux 策略”
Fedora 策略是否提供了某种方法来阻止用户空间进程修改 SELinux 标签?