Ich habe SELinux in Debian Sid installiert, um die Sandbox zu verwenden, die Apps auf eine eingeschränkte Umgebung beschränkt, aber ich bekomme es nicht zum Laufen. Wenn ich versuche, den Sandbox-Befehl im permissiven Modus ohne Optionen wie zu verwenden, sandbox nanoerhalte ich die folgende Fehlermeldung:
/usr/bin/sandbox: [Errno 22] Invalid argument
Und wenn ich versuche, es mit Optionen für temporäre Home- und TMP-Verzeichnisse auszuführen, mit oder ohne die Option -X, wird eine weitere Fehlermeldung angezeigt:
Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory
Ich habe versucht, die Sandbox-App im erzwungenen Modus zu verwenden, aber sie beschwert sich über fehlende Typdurchsetzungsregeln. Ich glaube jedoch nicht, dass das das Problem ist. Weiß jemand, wie man das behebt?
Antwort1
Leider ist die SELinux-Unterstützung in Debian bei weitem nicht vollständig und weist einige große Lücken auf. Es scheint, dass das erforderliche Richtlinienmodul für diese spezielle Funktionalität einfach nicht verfügbar ist:
wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4
[...]
Description-en: SELinux core policy utilities (graphical sandboxes)
[...]
This package requires an additional custom policy that is not present in
Debian.
Sie müssen es woanders finden.