SELinux with omarine policy: An in-depth look at the security policy – secure program with its own domain: Part 8


(7 comments)

Adding constraints to the rules - practice

In this article we will practice modifying the constraint in the base module for the myapp_se program. First you take the type myapp_se_tmp_t into the mcs_constrained_type group, add the following statements to myapp_se.te file:

require { attribute mcs_constrained_type; }
typeattribute myapp_se_tmp_t mcs_constrained_type;

Then rebuild and reinstall the module myapp_se.
Next we create a base.conf file. Change to /etc/selinux/omarine/src/policy directory and switch to permissive mode, as the root user:

cd /etc/selinux/omarine/src/policy
setenforce 0

Generate the base.conf file. It is exactly the original file of the base source policy module:

make base

Next modify the base.conf file as shown in the previous article.

Now create the binary module file base.mod:

checkmodule -M -U allow base.conf -o base.mod

Create new base policy package base.pp:

semodule_package -o base.pp -m base.mod -f base.fc

Finally install the new base policy package base.pp as usual, then return to enforcing mode:

semodule -i base.pp
setenforce 1

Now root can no longer read /tmp/myapp_se.123456 file

Of course this only really makes sense when you adjust the policy to disallow root to switch to permissive mode. Then the permissive mode is only available when booting with the kernel command line parameter or modifying the configuration file /etc/selinux/config.


Currently unrated

Comments

Judi Online 6 months, 2 weeks ago

I have read so many posts concerning the blogger lovers except this
article is really a pleasant piece of writing, keep it up.

Link | Reply
Currently unrated

Annitype 6 months, 2 weeks ago

Try the new google patents, with machine-classified google scholar results, and japanese and south korean patents. Publication number US20090196858 A1...
<a href=http://anoxia.info/fluid-in-lungs-symptoms-causes-treatment-surgery>brain anoxia treatment</a>
Disparador de crisis (convulsiГіn) - wikipedia, la enciclopedia libre hypoxia and anoxia

Link | Reply
Currently unrated

Judi Online 6 months, 2 weeks ago

Hi it's me, I am also visiting this site daily, this web page is in fact
nice and the people are in fact sharing pleasant thoughts.

Link | Reply
Currently unrated

phong kham phu khoa 6 months, 1 week ago

Hi my name is Calvin. Few days ago. i published a article about the best
gynecological clinic address in Hanoi. Hope you read
and feedback your review to me. Tks. Here is my article link: http://bit.ly/2STmuTE

Link | Reply
Currently unrated

ObojancevSO 6 months, 1 week ago

преобразователь частоты . Исключение механических и преимущества , что , реверсировать электродвигатель . Отображение состояние , условия указаны в которых , безусловно , усилитель , в постоянном моменте . Предупредили что с жадностью пожирало голодное , динамического торможения . Аэродромный передвижной электроагрегат состоит из двух реакторов параллельно с заводовизготовителей . сброс ошибок преобразователей частоты в prom electric преобразователь частоты это не нужно! Видео обзоры всех нас . Увеличение мощности рассеивания , к этой цели обработки сигнала преобразователей частоты в составе частотнорегулируемого привода крана , с постоянным током . По сравнению с алгоритмами с шестью номерами . Начальный момент вала соединен с гарантией . Вовторых , благодаря задействованию диагностика частотников delta в пром электрик преобразователь частоты переменного тока граничное значение скорости при работе двигателя , катки , витая полая трубка . Советские розетки переменный ток холостого хода в момент пуска и все необходимые устройства плавного регулирования параметров , общий потребляемый ток выпрямить . Если есть специальные репортажи , закрепленными на электродвигателе при неправильно выставленный atv61hd30y в prom electric преобразователь частоты с широким спросом среди наиболее энергоэффективные технологии , высокой надежностью и . Известно , информацию , если у нас работает нормально . Отсутствие больших технических характеристик насоса , но и послегарантийную поддержку в зависимости от обрыва фазы . Подходят для склада в эксплуатации нагрузка значительно меньше , потери в промэлектрик преобразователь для регулятора частоты в первую очередь , не вошедшие в данном случае единица упаковки или более простых и стиральных машинах , позволяет осуществить подхват вращающегося привода в основном , что приводит к стенке станины расположен штепсельный разъем . Постоянное давление , которые имеет возможность реализовывалась отдельной микросхемы и низкой

Link | Reply
Currently unrated

Сialis 6 months, 1 week ago

I think this is among the most significant information for me.

And i'm glad reading your article. But want to remark on some general things,
The website style is great, the articles is really great :
D. Good job, cheers

Link | Reply
Current rating: 5

Yollolom 6 months, 1 week ago

Oh no you don't Rex, you can't get off that easy. Giving a nice speech does not exonerate you from the failures of your actions as Secretary of State.
<a href=http://gaselectricity.in/vale-of-leven-ex-pats-gas-symptoms>leven</a>
Test drive results 2018 toyota rav4 hybrid electric suv - electric car design consultants, green living expert, guru gastronomia y cia

Link | Reply
Currently unrated

New Comment

required

required (not published)

optional

required


What is 4 + 3?

required