Instalei o SELinux no Debian sid para usar o sandbox que bloqueia aplicativos em um ambiente restrito, mas não consigo fazê-lo funcionar. Se eu tentar usar o comando sandbox no modo permissivo sem nenhuma opção, como sandbox nano, recebo o seguinte erro:
/usr/bin/sandbox: [Errno 22] Invalid argument
E se eu tentar executá-lo com opções de diretórios home temporários e tmp, com ou sem a opção -X, outra mensagem de erro aparecerá:
Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory
Tentei usar o aplicativo sandbox no modo imposto, mas ele reclama da falta de regras de aplicação de tipo. Eu não acho que esse seja o problema. Alguém sabe como consertar isso?
Responder1
Infelizmente, o suporte ao SELinux no Debian está longe de ser completo, com algumas lacunas importantes. Parece que o módulo de política necessário para esta funcionalidade específica simplesmente não está disponível:
wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4
[...]
Description-en: SELinux core policy utilities (graphical sandboxes)
[...]
This package requires an additional custom policy that is not present in
Debian.
você terá que encontrá-lo em outro lugar.