SELinux - 封鎖 user_t 網域中的使用者建立套接字

我需要不受信任的使用者透過 SSH 在 Fedora 17 電腦上執行 Ruby 和 Python 腳本，同時將對系統完整性和安全性的影響降至最低。

SSH 包裝器將確保僅（直接）運行 Ruby 和 Python 可執行檔。

使用者的主目錄（以及 /tmp）不可執行（Ruby 和 Python 從 /usr 運行）。

需要禁止使用者創建socket。

以及關於如何最大程度地減少壞人造成的損害的任何建議。

謝謝。