<p>True enough. An over symplification indeed. Blank out securetty to disallow direct root login outside of runlevel 1.</p>
<p>Some stuff must be run as root. But selinux policies can allow communication without it if carefully crafted and using &lt;500 UID for process user.</p>
<p><blockquote type="cite">On Jul 31, 2010 12:59 PM, &quot;Scott McBrien&quot; &lt;<a href="mailto:smcbrien@gmail.com">smcbrien@gmail.com</a>&gt; wrote:<br><br><div bgcolor="#FFFFFF"><div>That&#39;s all well and good if you want to make your own policy, but on RHEL, CentOS, and Fedora, root runs as an unconfined user, so for the most part they can still mangle whatever they want.  &quot;Learn SELinux&quot; is simplifying A LOT.</div>
<div><br></div><div><font color="#888888">-Scott</font><p><font color="#500050"><br><br>On Jul 31, 2010, at 12:29 PM, Jim Kinney &lt;<a href="mailto:jim.kinney@gmail.com">jim.kinney@gmail.com</a>&gt; wrote:<br></font></p>
</div><p><font color="#500050">&gt; Learn selinux.<br>&gt;&gt;<br>&gt;&gt; On Jul 31, 2010 12:14 AM, &quot;Michael Trausch&quot; &lt;<a href="mailto:mike@trausch.us">mike@trausch.us</a>&gt; wrote:<br>&gt;&gt;<br>&gt;&gt; Th...</font></p>
</div><br>_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org">Ale@ale.org</a><br>
<a href="http://mail.ale.org/mailman/listinfo/ale" target="_blank">http://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>
<br></blockquote></p>