ddおよびfdiskコマンドからのデバイスの保護

Udevルールを記述して、補足HDDに十分に一意の名前を付けることができます。

別のアイデア：セキュリティ要件を「誰がやっているのかではなく、彼らがどのようにやっているのか」と表現できるときはいつでも、タイプエンフォースメントについて話しているので、ほとんどのLinuxディストリビューションではTEはMACレベルで行われます。私のMAC経験のほとんどは「SELinux」に関するものです

DACレベルでロックダウンすることはできません。そうしないと、デバイスでI/Oを実行できません（必ずしもセキュリティモデルとしてのDACの障害ではなく、現在のDACポリシーはIDベースであるため、すべてのプログラムが特定のIDで実行すると、追加の管理表現がなくても同一の権限が取得されます）。 MACレベルでロックダウンして、通常のユーザースペースコンポーネントがブロックファイルに対して何も実行できないようにすることができますが、ルートユーティリティとプラットフォームの特定の部分は実行できます。 Fedoraでは、これはすでに、ブロックデバイスがSELinuxタイプのfixed_disk_device_tで表示され、grubがbootloader_exec_tを持っている場合の一種です。次の例を参照してください。

[root@localhost ~]# ls -lhZ $(which grub2-install)
-rwxr-xr-x. root root system_u:object_r:bootloader_exec_t:s0 /sbin/grub2-install
[root@localhost ~]# ls -lhZ /dev/sda
brw-rw----+ root disk system_u:object_r:fixed_disk_device_t:s0 /dev/sda
[root@localhost ~]# sesearch --allow | egrep bootloader | grep fixed
   allow bootloader_t fixed_disk_device_t : lnk_file { read getattr } ; 
   allow bootloader_t fixed_disk_device_t : chr_file { ioctl read write getattr lock append open } ; 
   allow bootloader_t fixed_disk_device_t : blk_file { ioctl read write getattr lock append open } ; 
[root@localhost ~]# 

ddには通常のbin_tラベルがありますが、

[root@localhost ~]# ls -lhZ $(which dd)
-rwxr-xr-x. root root system_u:object_r:bin_t:s0       /bin/dd

bin_t（どうやら）はブロックデバイスに書き込むことができますが、fdiskとddの新しいファイルコンテキストタイプを作成し、新しいタイプがfixed_disk_device_tにアクセスできないようにするselinuxルールを作成することはそれほど難しくありません。 。通常のユーザーロールでは実行できないようにする必要がありますが、sysadm_tを持つユーザーは実行できます。その後、ディスクのパーティションを再作成する前、またはddを実行する前に、newrole -r root:sysadm_rを実行することを忘れないでください。ブロックデバイス上で（1日中毎日fdiskを実行するわけではないので、大したことではないはずです）。

おそらくあなたが探していたよりも多くの作業がありますが、TEはあなたが直面している一般的な問題を解決するメカニズムです。個人的には、udevルールがおそらく最も安全な賭けです。これに似た問題のより大きなセットを解決することに興味がある場合にのみ、TEのものについて言及します。