저는 Fedora 23을 사용하고 있습니다. SELinux를 활성화하고 시행했습니다. restorecon및 chcon(그리고 아마도 다른 프로그램)을 사용하여 파일의 레이블을 변경할 수 있다는 것을 알고 있습니다 . 이것이 파일 보안을 우회하는 방법이라는 것은 의심의 여지가 없습니다. SELinux 라벨을 변경할 수 없게 하려면 어떻게 해야 합니까?이것Gentoo 문서 페이지에는 SELinux를 사용하여 이 작업을 수행할 수 있다고 나와 있지만 방법은 설명하지 않습니다. Fedora의 targeted정책은 세 가지 특별한 부울 값을 제공합니다:
secure_mode— "sysadm_t, sudo 및 su로의 전환은 허용되지 않습니다."secure_mode_insmod— "커널 모듈을 로드하는 프로세스가 허용되지 않습니다."secure_mode_policyload— "어떤 프로세스도 커널 SELinux 정책을 수정하는 것을 허용하지 않습니다."
Fedora 정책은 사용자 공간 프로세스가 SELinux 레이블을 수정하는 것을 방지하는 방법을 제공합니까?