Questa domanda è "sarebbe possibile" piuttosto che un "come".
SELinux può isolare uno scanner AV binario, Kaspersky Endpoint Security per Linux per un esempio, per fare solo ciò che si deve fare che è scansionare (leggere) e rilevare?
Immagina di installare Kaspersky su un computer estremamente sensibile. La perdita di informazioni sulla macchina potrebbe causare gravi danni. Kaspersky, pur essendo uno scanner antivirus estremamente affidabile e un'azienda fidata, è ancora un'azienda al di fuori della mia nazione. L'influenza governativa, in questo caso la Russia, potrebbe forzare senza alcuna scelta Kaspersky a caricare codice malevolo tramite normali processi di aggiornamento sulle nostre workstation sensibili, o esportare i file da leggere a casa base esponendo le nostre informazioni. Questi rischi devono essere evitati.
Non sono un esperto di SELinux, ma penserei che sarebbe possibile. Per come la vedo io, bisognerà applicare una coppia di regole, altrimenti verrà applicata da SELinux o meno.
- Lo scanner AV dovrebbe essere in grado di scrivere su file all'interno della propria directory installata, assicurando che tutto ciò che il programma sta creando possa essere strettamente monitorato e rimosso a piacimento.
- Lo scanner AV dovrebbe essere in grado di leggere solo i file al di fuori della sua directory installata, non dovrebbe essere consentito creare o eseguire file all'esterno della sua directory installata.
- Lo scanner AV deve essere monitorato per assicurarsi che non stia esportando i file che sta leggendo su un server remoto.
SELinux è abbastanza flessibile da coprire questi rischi? O è l'unica risposta qui avendo accesso al codice sorgente?