Keamanan

Menyearahkan kebijakan SELinux dengan kernel saat ini

Dalam rilis Fedora 34, kebijakan SELinux telah diperbarui untuk mencocokkan keadaan di kernel saat ini sehingga SELinux dapat menggunakan fitur kernel yang disediakan.

Penyempurnaan ke kebijakan SELinux termasuk yang baru:

  • kelas: lockdown, perf_event

  • izin: watch, watch_mount, watch_reads, watch_sb, watch_with_perm

  • kapabilitas: bpf, checkpoint_restore, perfmon

Pembaruan ini membawa granularitas yang lebih baik untuk pemberian izin, yang memiliki keuntungan keamanan selanjutnya.

Dukungan untuk menonaktifkan SELinux melalui /etc/selinux/config telah dihapus

Dengan rilis ini, dukungan untuk menonaktifkan SELinux melalui opsi SELINUX=disabled dalam berkas /etc/selinux/config telah dihapus dari kernel. Lebih jauh, program instalasi Anaconda dan halaman man terkait telah diperbarui untuk mencerminkan perubahan ini. Perubahan ini juga memfungsikan proteksi hanya-banya-setelah-inisialisasi bagi hook Linux Security Module (LSM).

Jika skenario Anda perlu untuk menonaktifkan SELinux, tambahkan parameter selinux=0 ke command line kernel Anda.