Bagaimana cara mengatur kotak pasir SELinux di Debian?

8

Saya telah menginstal SELinux di sisi Debian untuk menggunakan kotak pasir yang mengunci aplikasi ke lingkungan terbatas, tapi saya tidak bisa membuatnya berfungsi. Jika saya mencoba menggunakan perintah kotak pasir dalam mode permisif tanpa opsi, seperti sandbox nano, saya mendapatkan kesalahan berikut:

/usr/bin/sandbox: [Errno 22] Invalid argument

Dan jika saya mencoba menjalankannya dengan opsi untuk home sementara dan tmp dirs, dengan atau tanpa opsi -X, pesan kesalahan lain muncul:

Could not set exec context to unconfined_u:unconfined_r:sandbox_x_t:s0:c236,c539.
Failed to remove directory /tmp/.sandbox-root-vfZJIt: No such file or directory

Saya telah mencoba menggunakan aplikasi sandbox dalam mode yang ditegakkan, tetapi ia mengeluh tentang aturan penegakan jenis yang hilang. Saya pikir bukan itu masalahnya. Adakah yang tahu bagaimana cara memperbaikinya?

debian selinux sandbox Magnus
sumber
1
Tampaknya modul kebijakan kotak pasir tidak dimuat. Jika saya menjalankan semodule -lmodul sandbox tidak muncul. Apakah ada yang tahu cara memuat modul kebijakan kotak pasir di Debian?
Magnus

Jawaban:

1

Sayangnya, dukungan SELinux di Debian masih jauh dari selesai, dengan beberapa kesenjangan besar. Tampaknya modul kebijakan yang diperlukan untuk fungsi khusus ini tidak tersedia:

wouter@gangtai:~$ apt-cache show policycoreutils-sandbox
Package: policycoreutils-sandbox
Source: policycoreutils
Version: 2.4-4

[...]

Description-en: SELinux core policy utilities (graphical sandboxes)

[...]

 This package requires an additional custom policy that is not present in
 Debian.

Anda harus menemukannya di tempat lain.

Wouter Verhelst
sumber