Port SELinux "défini dans la politique, ne peut pas être supprimé"

Je ne suis pas satisfait de la réponse à cette question :

$> sudo semanage port -d -p tcp -t foo... ValueError: Port foo is defined in policy, cannot be deleted 

La réponse acceptée est

La politique SELinux inclut des définitions pour les ports … Il n'est pas nécessaire de les supprimer.

Pas besoin de les supprimer. D'accord, mais je veux les supprimer de toute façon – je veux que la disponibilité de SELinux du port corresponde à la disponibilité réelle du port, juste pour le bien-être de la cohérence.

Comment puis-je semanage port -d pour les ports définis dans la stratégie? (Dans mon cas, ssh.)

Votre option serait de build votre propre module de stratégie pour SSH, en supprimant la partie si le port était étiqueté.

Puisque vous pouvez maintenant charger des modules de stratégie spécifiant une priorité, votre module personnalisé aura une priorité supérieure. Vérifiez l'indicateur -X,--priority=PRIORITY semodule dans la page de manuel du semodule pour les détails.

Pour memory, je suis d'accord avec Michael Hampton en ce sens qu'il n'est pas nécessaire d'enlever le port de la politique. Il n'améliore pas la security du système, car il existe plusieurs façons d'augmenter ou de relâcher la gestion de security (comme dans SELinux) du server SSH, à savoir: supprimer le server OpenSSH pour commencer, étiqueter le trafic , ou, dans l'autre sens, mettez le server SSH dans un domaine permissif .