Исходное сообщение
"В ядре Linux убрали упоминание связи SELinux с АНБ" Отправлено PnD, 31-Авг-23 12:42
Можно, наверное, но х.з. зачем. SELinux — он про "мандатный контроль доступа". Есть даже возможность включить MLS, но это для секретчиков и не моя специальность. В "targeted"-режиме используем как ещё один уровень "доказательства владения" во всяких околоденежных историях. Если вы не можете описать куда софтина должна иметь доступ, она не будет работать как ожидается (даже если запустится). * К сожалению, в некоторых моментах и selinux не поможет. Вот к примеру https://selinuxproject.org/page/ObjectClassesPerms Вы знаете что запускаемое использует PCRE и по этому поводу надо (на примере астера) """ allow asterisk_t self:process { execmem execstack }; """ Но, блин, теперь процесс может исполнять абы что и абы где! А не только по регуляркам ползать. Т.е. в этом месте я конечно показал что знаю как оно там внутри крутится. Но дальше развожу руками. Приходите с эксплоитом наперевес, и… "мечты исполнятся".