我configuration了SELinux:
semanage login -a -s user_u mary setsebool user_exec_content off 一般configuration是
SELINUX=enforcing SELINUXTYPE=targeted
当我login到玛丽帐户,我仍然可以在她的帐户运行脚本,但setsebool(user_exec_content =closures)应该禁止这样做?
任何人都可以指向正确的方向吗?
Selinux用户在使用su时不受限制
一些应用程序或帮助程序利用PAM来获取/设置SELinux限制。 例如SSHD将要求您启用UsePAM yes来启用SELinux用户限制。 根据你的SELinux策略和布尔值,你可以在使用su或者sudo等助手的时候绕过限制,也可以根据它们的执行方式。 这需要了解SELinux策略中允许的转换。
如果Mary通过SSHlogin并且设置了UsePAM yes ,那么他们应该被限制在预期的范围内,并且布尔值应该生效。