Linux에는 정책을 위반하는 프로세스를 중지할 수 있는 MAC이 있습니까?

Linux에는 정책을 위반하는 프로세스를 중지할 수 있는 MAC이 있습니까?

SIGSTOP시스템 호출을 재시도하기 위해 업데이트된 정책으로 이를 복구할 수 있도록 정책 위반을 처리할 수 있는(또는 관련 시스템 호출에서 제어를 반환하지 않음) Linux MAC이 있습니까 ? 이는 신뢰할 수 없는 대화형 소프트웨어를 실행하는 경우 상태를 변경하고 새로운 동작을 표시하는 데 많은 시간이 걸리는 경우 매우 편리합니다. 수정하거나 보고해야 하는 버그/악성 코드를 찾기 위해 실행 중인 프로세스의 상태를 프로파일링하는 데에도 사용할 수 있습니다(예: gdb 사용).

답변1

아니요 - selinux는 정책을 위반한 경우에만 작업을 차단합니다. 정말로 이 동작을 원한다면 selinux 로그를 사용하여 PID를 구문 분석하고 SIGSTOP을 각 프로세스에 보낼 수 있습니다. 그러나 프로세스는 이미 selinux로부터 거부를 받았으므로 프로세스를 재개해도 시스템 호출을 다시 시도하지 않습니다. 게다가 이 동작이 표준이라면 서버는 많은 DoS 공격에 노출될 것입니다( httpd클라이언트를 속여 양성 정책 위반을 실행할 수 있다면 어떤 일이 일어날지 상상해 보십시오).

답변2

지능형 리눅스killall이는 정책이 위반될 때(예를 들어) 명령을 실행하여 달성할 수 있습니다.

당신은 또한 사용할 수 있습니다tomoyo-queryd정책 위반을 실시간으로 모니터링하고 실시간으로 허용/거부 결정을 내립니다.

관련 정보