Die boolschen Variablen der Strict-Policy

Die Strict-Policy weist einige Variablen auf, die in der Targeted Policy nicht vorhanden sind. Eigentlich weist die Strict-Policy aber wesentlich weniger boolsche Variablen als die Targeted-Policy auf. Die Strict-Policy erlaubt nicht die Deaktivierung der Überwachung für einzelne Dienste wie die Targeted-Policy. Die wenigen zusätzlichen boolschen Variablen sollen kurz erläutert werden.

• allow_httpd_staff_script_anon_write Diese und die folgenden beiden boolschen Variablen definieren, ob die entsprechenden ausgeführte CGI-Skripte öffentliche Daten (public_content_t) schreiben dürfen.
• allow_httpd_sysadm_script_anon_write
• allow_httpd_user_script_anon_write
• secure_mode Diese boolsche Variable hat mehrere Funktionen:
  • Ein Wechsel mit newrole ist nur für unprivilegierte Rollen möglich. Aus der Rolle staff_r ist kein Wechsel mehr in die Rolle sysadm_r möglich. Damit kann bei Anmeldung über die SSH root keine administrativen Änderungen mehr vornehmen.
  • Ein Wechsel mit su ist ebenfalls nur für nicht privilegierte Benutzer möglich.
  • Ein Wechsel über userhelper ist auch nur möglich, wenn secure_mode abgeschaltet ist.