Я установил SELinux в Debian sid, чтобы использовать песочницу, которая блокирует приложения в ограниченной среде, но я не могу заставить ее работать. Если я попытаюсь использовать команду sandbox в разрешительном режиме без каких-либо параметров, например sandbox nano, я получу следующую ошибку:
/usr/bin/sandbox: [Errno 22] Invalid argument
А если я попытаюсь запустить его с параметрами для временных домашних и временных каталогов, с параметром -X или без него, появится другое сообщение об ошибке:
Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory
Я пробовал использовать приложение sandbox в принудительном режиме, но оно жалуется на отсутствие правил принудительного применения типов. Я не думаю, что проблема в этом. Кто-нибудь знает, как это исправить?
решение1
К сожалению, поддержка SELinux в Debian далека от полной, с некоторыми серьезными пробелами. Похоже, требуемый модуль политики для этой конкретной функциональности просто недоступен:
wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4
[...]
Description-en: SELinux core policy utilities (graphical sandboxes)
[...]
This package requires an additional custom policy that is not present in
Debian.
Вам придется найти его в другом месте.