Является ли kernel.keys.maxkeys для пользователя или для каждого ключа?
Когда дело доходит до «установки» новой политики, все сводится к ограничению доступа для тех, кто может «записывать» и «переименовывать» /etc/selinux/TYPE/policy/policy. *файлов.
Определите тип этой цели. Используйте пакет анализа политик SELinux, чтобы определить, что может «записывать» и «переименовывать» файлы этого типа. Затем убедитесь, что любой процесс, которому вы не хотите устанавливать политику, не имеет такого доступа (прямо или косвенно )к этому типу файлов.
Кроме того, вы, вероятно, также захотите убедиться, что любые процессы, для которых вы не хотите иметь возможность устанавливать политику, не имеют доступа к «setenforce безопасности» и не имеют физического доступа. Потому что иначе эти процессы могли бы просто обойти SELinux.
Ответ: :Для каждого пользователя.
См. демонстрацию ниже:
┌[rovanion][RiggenBuntu]:~
└$ keyctl add user a-key some-data @u
812046028
┌[root][RiggenBuntu]:/
└# cat /proc/key-users
0: 95 94/94 83/1000000 1687/25000000
1000: 5 5/5 5/200 61/20000
┌[root][RiggenBuntu]:/
└# sysctl -w kernel.keys.maxbytes=62
kernel.keys.maxbytes = 62
┌[root][RiggenBuntu]:/
└# cat /proc/key-users
0: 95 94/94 83/1000000 1687/25000000
1000: 5 5/5 5/200 61/62
┌[rovanion][RiggenBuntu]:~
└$ keyctl add user b-key more-data @u
add_key: Disk quota exceeded