Estou trabalhando em um projeto de sistema baseado em Linux com segurança reforçada (kernel 2.6.32 + Gnome 2 + base de pacote Centos principalmente). Precisamos implementar a restrição de execução de executáveis não permitidos.
A compilação de código-fonte, o desenvolvimento de pacotes, o script e o comando chmod +x serão proibidos neste sistema. Resumidamente, precisamos restringir qualquer execução por padrão para um usuário sem privilégios (não raiz), exceto a lista muito pequena de aplicativo de espaço do usuário (X.org, office, browser, etc). Eu acho que não é o suficiente para usar o controle de acesso discricionário neste caso, em vez disso, deve ser uma espécie de superestrutura de controle de acesso obrigatório.
Qual é a maneira preferível de resolver isso? Eu ouvi algo sobre o SELinux e as regras do ACL, mas não estou certo. Obrigado.
Tags executable access-control