SELinux可以在另一个LSM模块之后加载吗？

Question

我正在构建一个LSM模块，它应该可以与SELinux一起工作。它必须在SELinux之前注册，才能完成它需要完成的任务。

如果SELinux不是第一个注册的LSM模块，它是否会注册失败？

Answer 1

编辑我意识到这已经晚了5年，而LSM框架是一个不断变化的目标。这可能在您发布这篇文章时是不正确的，或者在将来可能是不正确的。

不是的。SELinux加载在模块顺序的最后

Selinux将与任何其他非传统主要的LSM(!SMACK、SELinux或Apparmor)堆叠在一起。

目前，Yama默认编译到内核中，这缩短了ptrace操作的范围，Yama是第一批加载的LSM之一，但目前与SELinux工作得很好。

LSM开发人员正在努力消除某些LSM的排他性，并准备让AppArmor为这种变化做好准备。

最终目标是能够将无限数量的LSM编译到内核中，尽管在实现这一目标之前还需要做一些工作