アプリを制限された環境にロックダウンするサンドボックスを使用するために、Debian sid に SELinux をインストールしましたが、動作しません。 のように、オプションなしで permissive モードで sandbox コマンドを使用しようとすると、sandbox nano次のエラーが発生します。
/usr/bin/sandbox: [Errno 22] Invalid argument
また、-X オプションの有無にかかわらず、一時的なホーム ディレクトリと tmp ディレクトリのオプションを指定して実行しようとすると、別のエラー メッセージが表示されます。
Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory
サンドボックス アプリを強制モードで使用してみましたが、型強制ルールが欠落しているというエラーが表示されます。ただし、これが問題ではないと思います。これを修正する方法を知っている人はいますか?
答え1
残念ながら、Debian の SELinux サポートは完全とは程遠く、いくつかの大きな欠陥があります。この特定の機能に必要なポリシー モジュールが利用できないようです。
wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4
[...]
Description-en: SELinux core policy utilities (graphical sandboxes)
[...]
This package requires an additional custom policy that is not present in
Debian.
他の場所で見つける必要があります。