É possível evitar uma mudança no status do SELinux sem uma reinicialização?

3

Eu gostaria de ser capaz de impedir que até mesmo um usuário privilegiado altere o modo SELinux de impondo para permissivo sem reinicialização.

É muito fácil para um usuário raiz executar setenforce permissive , fazer alterações, como executar programas não confinados ou alterar contextos, e reativar o modo de imposição. Claro, ele será registrado, mas isso pode passar despercebido.

    
por Graham Nicholls 02.10.2018 / 12:54

1 resposta

3

secure_mode_policyload O booleano deve fornecer essa funcionalidade:

Boolean to determine whether the system permits loading policy, setting enforcing mode, and changing boolean values. Set this to true and you have to reboot to set it back.

Quando habilitado, as modificações na política do SELinux não são possíveis (incluindo a mudança do modo permissivo / reforçado) e a desativação do booleano requer uma reinicialização.

Para ligá-lo até a próxima inicialização:

setsebool secure_mode_policyload on

    
por 02.10.2018 / 12:59