web-dev-qa-db-ja.com

再起動せずにSELinuxステータスの変更を防ぐことは可能ですか?

特権ユーザーでも、再起動せずにSELinuxモードを強制から許可に変更できないようにしたいと思います。

Rootユーザーがsetenforce permissiveを実行し、制限のないプログラムの実行やコンテキストの変更などの変更を加えてから、強制モードを再度有効にするのは簡単すぎます。確かに、それはログに記録されますが、それは見過ごされる可能性があります。

3
Graham Nicholls

secure_mode_policyload ブール値はそのような機能を提供する必要があります:

システムがポリシーのロード、強制モードの設定、およびブール値の変更を許可するかどうかを決定するブール値。これをtrueに設定すると、元に戻すには再起動する必要があります。

有効にすると、SELinuxポリシーを変更できず(許容/強制モードの変更を含む)、ブール値をオフにするには再起動が必要です。

次の起動までオンにするには:

setsebool secure_mode_policyload on
3
sebasth