NIST 800-53 rev 4 CM-7 (2) afferma:
(2) MENO FUNZIONALITÀ | PREVENIRE L'ESECUZIONE DEL PROGRAMMA Il sistema informativo utilizza meccanismi automatizzati per impedire l'esecuzione del programma in conformità con [Selezione (uno o più): programmi software autorizzati; programmi software non autorizzati; regole che autorizzano i termini e le condizioni di utilizzo del programma software.
Quali meccanismi automatici esistono in Linux per impedire l'esecuzione di specifici programmi? Comprendo che le autorizzazioni DAC di Linux possono essere utilizzate a un livello elevato per limitare l'esecuzione di tutti i programmi, ma non è l'implementazione di whitelist / blacklist. Sono anche consapevole del fatto che una rigorosa implementazione delle policy di SELinux potrebbe essere utilizzata per soddisfare una white list richiedendo la definizione di criteri per ogni applicazione approvata. Ci sono altre opzioni meno onerose della politica rigorosa di SELinux (che è un notevole sforzo da implementare in una rigorosa configurazione di policy)?