Estou executando o Fedora 23. Eu tenho o SELinux habilitado e aplicado. Eu sei que você pode alterar os rótulos de um arquivo com restorecon e chcon (e possivelmente outros programas). Esta é sem dúvida uma avenida pela qual a segurança de um arquivo pode ser ignorada. Como posso fazer com que as etiquetas do SELinux não sejam alteradas? Esta página de documentação do Gentoo diz que o SELinux pode ser usado para fazer isso, mas não diz como. A política targeted do Fedora fornece três booleanos específicos:
secure_mode - "Não permitir transição para sysadm_t, sudo e su effected" secure_mode_insmod - "Não permite que nenhum processo carregue módulos do kernel" secure_mode_policyload - "Não permite que nenhum processo modifique a política SELinux do kernel" A política do Fedora vem com alguma forma de impedir que os processos de espaço do usuário modifiquem os rótulos do SELinux?