Hello Klaus,<br><br>Personally I'd suggest turning off exec (mem, heap, stack); mapping your user role to staff_u and then disallowing unconfined logins; turning on secure_mode and secure_mode_policyload.  setsebool -P <name_of_boolean> <value> should take care of that last from single user mode.<br>
<br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Dominick Grift</b> <span dir="ltr"><<a href="mailto:domg472@gmail.com">domg472@gmail.com</a>></span><br>Date: Sun, Dec 27, 2009 at 12:24 PM<br>
Subject: Re: allow_exec{mem,stack} default to on?<br>To: <a href="mailto:fedora-selinux-list@redhat.com">fedora-selinux-list@redhat.com</a><br><br><br><div class="im">On Sun, Dec 27, 2009 at 01:48:03PM +0100, Klaus Lichtenwalder wrote:<br>

</div><div class="im">> Hi,<br>
><br>
> just checked to freshly installed Fedora 12 machines, and found<br>
>       allow_execmem --> on<br>
>       allow_execstack --> on<br>
> Is there a reason for this, as the comment in semanage strongly<br>
> discourages it? Or did I install a package that switches those booleans?<br>
<br>
</div>By default SELinux is pretty permissive (much is allowed). However you can very much tighten the configuration.<br>
<br>
A few things to do:<br>
<br>
map all your Linux logins to confined SELinux users<br>
disable the unconfined module<br>
lock-down your booleans<br>
...and much more...<br>
<div class="im">><br>
> Klaus<br>
><br>
> --<br>
> ------------------------------------------------------------------------<br>
>  Klaus Lichtenwalder, Dipl. Inform.,  <a href="http://lklaus.homelinux.org/Klaus/" target="_blank">http://lklaus.homelinux.org/Klaus/</a><br>
>  PGP Key fingerprint: A5C0 F73A 2C83 96EE 766B  9C62 DB6D 1258 0E9B B6D1<br>
><br>
<br>
<br>
<br>
</div><div><div></div><div class="h5">> --<br>
> fedora-selinux-list mailing list<br>
> <a href="mailto:fedora-selinux-list@redhat.com">fedora-selinux-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/fedora-selinux-list" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-selinux-list</a><br>
<br>
</div></div><br>--<br>
fedora-selinux-list mailing list<br>
<a href="mailto:fedora-selinux-list@redhat.com">fedora-selinux-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/fedora-selinux-list" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-selinux-list</a><br></div><br>