semanage login -a -s user_u mary setsebool user_exec_content off
一般配置是
SELINUX=enforcing SELINUXTYPE=targeted
当我登录mary帐户时,我仍然可以在她的帐户中运行脚本但是setsebool(user_exec_content = off)应该禁止这样做吗?
谁能指出我正确的方向?
某些应用程序或帮助程序使用PAM来获取/设置SELinux限制.例如,SSHD要求您启用UsePAM yes以启用SELinux用户限制.根据您的SELinux策略和布尔值,您可以在使用su或sudo等辅助工具时绕过限制,也可以根据执行方式.这需要了解SELinux策略中允许的转换.
如果Mary通过SSH登录并且设置了UsePAM,那么它们应该按预期限制,并且您的布尔值应该生效.