Я настроил SELinux:
semanage login -a -s user_u mary
setsebool user_exec_content off
Общая конфигурация
SELINUX=enforcing
SELINUXTYPE=targeted
Когда я вхожу в учетную запись Мэри, я все еще могу запускать скрипты в ее учетной записи, но setsebool (user_exec_content = off) должен запретить это делать?
Может кто-то указать мне верное направление ?
Пользователь Selinux не ограничен при использовании su
Некоторые приложения или помощники используют PAM для получения / установки ограничений SELinux. Например, SSHD потребует, чтобы у вас был UsePAM yes для включения ограничений пользователей SELinux. В зависимости от ваших политик и логических значений SELinux вы можете обойти ограничение при использовании некоторых помощников, таких как su или sudo а также в зависимости от того, как они выполнены. Это требует понимания того, какие переходы разрешены в политике SELinux.
Если Мэри входит через SSH и UsePAM yes установлен, то они должны быть ограничены, как ожидалось, и ваше логическое значение должно вступить в силу.