DebianでSELinuxサンドボックスを設定するにはどうすればよいですか?


8

アプリを制限された環境にロックするサンドボックスを使用するために、Debian sidにSELinuxをインストールしましたが、動作させることができません。などのオプションなしで、permissiveモードでsandboxコマンドを使用しようとするとsandbox nano、次のエラーが発生します。

/usr/bin/sandbox: [Errno 22] Invalid argument

そして、-Xオプションの有無にかかわらず、一時的なホームディレクトリとtmpディレクトリのオプションを指定して実行しようとすると、別のエラーメッセージがポップアップ表示されます。

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

サンドボックスアプリを強制モードで使用しようとしましたが、型の強制ルールが欠落しているという不満があります。それは問題ではないと思います。誰かがこれを修正する方法を知っていますか?


1
サンドボックスポリシーモジュールが読み込まれていないようです。semodule -lサンドボックスモジュールを実行すると、表示されません。Debianにサンドボックスポリシーモジュールをロードする方法を知っている人はいますか?
Magnus

回答:


1

残念ながら、DebianでのSELinuxサポートは完全ではなく、いくつかの大きなギャップがあります。この特定の機能に必要なポリシーモジュールが利用できないようです:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

別の場所で見つける必要があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.