use*_*179 1 security selinux software-installation
我怀疑 SElinux 是后门程序,我想阻止它在我的系统上工作。如果可能的话,我也想停止它并将其从系统中删除。
首先,您可以通过错误配置来阻止 SELinux 工作。但是,这对禁用任何后门没有任何作用。
然后你可以通过在运行时配置它来阻止 SELinux 做任何事情。如果您运行setenforce 0,SELinux 将停止实施安全限制。尽管如此,它仍然是活跃的。您所做的一切可能是通过删除安全限制来降低系统的安全性。
如果您根本不想应用 SELinux,则可以在启动时使用内核参数将其关闭selinux=0。这样 SELinux 就不会做出任何决定。当然,您将失去它可能带来的任何安全优势。如果有后门,您就无法知道它是否仍然处于活动状态。毕竟,代码仍然存在。
好的,您需要从内核中删除代码。所以重新编译你的内核,CONFIG_SECURITY_SELINUX没有设置配置选项。重新启动,现在 SELinux 代码不再运行。胜利?
哈!不:你怎么知道后门在这个配置选项控制的代码中?如果我要隐藏后门,我会确保它是每个人都使用的代码的一部分。
如果你想确保摆脱作为 SELinux 一部分引入的任何后门,你需要回到引入 SELinux 之前的内核版本,并仔细评估对内核所做的所有提交从那时起并决定它们是否没有后门。完成此操作后,您将拥有一个无后门系统。我的意思是,一个无后门内核。我的意思是,一个没有你假设的这个特定后门的内核。
通灵!不,后门可能还在那里。如果内核中有一个影响编译器的后门,那么当你编译内核时,即使后门的源代码不存在,它也会将后门注入内核中怎么办?这将是一个自我维持的后门:使用后门编译器或在后门内核下编译,生成的内核仍然是后门。听起来很牵强?你以为没人能做到?很抱歉,但它也已经完成。一定要阅读Ken Thompson 的图灵奖讲座,“关于信任信任的思考”。
好的好的。你不能相信这个软件。因此,您需要编写自己的软件和编译器,并确保不要使用当前的、可能可疑的编译器或内核来编译您自己的无后门系统。我猜是直接写机器码吧。
啊,但要小心!恶意操作系统(或具有内核级访问权限的恶意软件,就此而言)可能会在您的固件中注入后门。所以如果你不信任你当前的内核,你也不能信任你的 BIOS。
不,不,这不会过去的。您需要制作自己的硬件。祝你好运!
| 归档时间: |
|
| 查看次数: |
656 次 |
| 最近记录: |